websense在最新進行的一項案例分析中,發現了一款叫做「垂釣者」(angler)的漏洞利用工具包。它可以檢測防毒軟體和虛擬機器,並可以部署經過加密的點滴木馬檔案(dropper)。
經過反覆驗證,這款工具可以最快的速度整合最新發布的零日惡意軟體,工具所包含的惡意軟體只在記憶體中執行,無需寫入受害者硬碟。基於這些原因,以及其明顯獨特隱匿技術,垂釣者或將成為網路犯罪分子漏洞利用工具最先進的選擇。
最近幾周以來,新聞中時常出現有關垂釣者的報道,因其快速吸收了adobe flash系列零日漏洞,讓一些人相信負責垂釣者的團夥可能也已經發現了可供利用的零日漏洞。
websense的亞伯·托羅稱,這款工具的隱匿技術值得注意主要是因為它使用的是簡單的基於換位的方式來加密url路徑的。下圖是乙個簡化版的垂釣者隱匿示意圖:
除此之外,它的隱匿方案類似於nuclear之類的競爭工具包。被感染的使用者重定向到乙個寫有明文的登入頁面,給使用者創造一種仍在安全合法**的幻覺。與此同時,垂釣者開始在後台解密惡意指令碼。
托羅寫道,「這些指令碼位於[p]類標籤當中,並經過base64加密,解碼base64字串就會展示出實際隱匿的漏洞利用工具包**。這樣,登入頁面包含幾個加密字串,字串中又包含指向flash、silverlight、ie等各種漏洞利用的url。」
一旦這些字串被全部解密,它就會再次進行隱匿,致使檢測工作更加困難。除了它的防毒引擎檢測能力,垂釣者還可以發現是否有研究人員試圖通過vmware、virtualbox、parallels或其他虛擬機器,以及安全研究人員所鍾愛的fiddler網頁除錯**工具對其**的執行。這些機制都讓分析angler的研究人員感到頭痛。
托羅解釋說,「攻擊負載由填充資料**和bedep的dll檔案組成。如果攻擊負載的最初幾個位元組是『909090』(不在x86彙編中執行),dll檔案將從記憶體中載入,否則它就會像正常的點滴木馬檔案一樣將被寫入磁碟。填充資料**負責從內在中執行dll檔案。」
「垂釣者也許是世界上迄今為止最為先進複雜的漏洞工具!」
世界上最遠的距離
世界上最遠的距離莫過於我站在你面前,可你並不知道我愛你 泰戈爾 世界上最遠的距離 不是生與死的距離 而是我站在你的面前 你卻不知道我愛你 世界上最遠的距離 不是我站在你的面前 你卻不知道我愛你 而是愛到痴迷 卻不能說我愛你 世界上最遠的距離 不是我不能說我愛你 而是想你痛徹心脾 卻只能深埋心底 世界...
世界上最小的linux PC
大家看到的那個黑色的立方體就是世界上最小的linux pc space cube,它是日本shimafuji corporation製作出了一款超小型電腦,本來是為太空任務設計的,它設法將usb埠,讀卡器 音訊輸出和專門的私有介面全都塞到乙個立方體盒子中,底盤大小僅為2平方英吋。這台超小型pc處理器...
世界上最大的賭局?!!
她不得不離開我,尋找新的生活,我沒有不愛她,沒有對不起過她,她也愛我,可世界有很多事情不是自己能控制的,她選擇了她的父母,放棄了我.從她放棄我,離開我的那一刻起,她就開始了一場賭局,我的愛,我對她的疼愛,我對她的執著,我對她的好,我對她的包容,和可以給她一輩子的關懷,幸福生活,當了籌碼,她要賭的是,...