精品国产一级在线观看,国产成人综合久久精品亚洲,免费一级欧美大片在线观看

在互聯網安全這場持久戰中，網絡攻擊者一直在不斷改進自己的攻擊技術。安全研究人員發現，最新的Graftor木馬變種可以將惡意DLL文件內嵌到PNG圖片中，然后以圖片為載體隱藏并將惡意DLL下載到目標系統上，并能夠躲避殺毒軟件的檢測。針對本文中的樣本，惡意內容被嵌入在了真實PNG圖片數據的末尾。

廣告軟件，甚至是綁定惡意軟件的正版軟件越來越多地被作為攻擊者用來初始訪問目標用戶系統的手段。在這些情況下，用戶會被誘導訪問一些惡意網站或者安裝一些軟件。在這次所分析的樣本中，它訪問了系統之后，惡意軟件通過下載一個包含惡意DLL和其他可執行內容的PNG文件，并利用該PNG文件進行進一步的漏洞利用。其中，PNG文件的下載發生在系統后臺，而無需與用戶進行交互，并且會將惡意內容隱藏在PNG文件的末尾，通過這種方法攻擊者試圖繞過系統和網絡的安全檢測。

意在竊取用戶輸入數據

在我們1月份分析的樣本中，惡意軟件首先試圖通過HTTP請求從http://174.128.244.58:808 toopu.png網站下載惡意PNG圖片，分析代碼如下圖所示。

在toopu.png文件的末尾附加了一個DLL文件，該DLL并未以任何方式混淆或隱藏，而只是附加到PNG文件中IEND標志的后面，通常IEND標記表明圖像文件的結束。

搜索VirusTotal，就能發現toopu.png同時還與一千多個樣本聯系密切，這些樣本也都使用到了該PNG文件中的惡意內容。通過檢測最近的很多樣本，我們發現toopu.png文件從192.253.234.50處下載。此外，我們也發現攻擊者還使用了其他PNG文件，例如khbgvkh.png和test.png文件。在我們分析的這個樣本中，VT表明它hook了鍵盤和鼠標操作的相關函數。簡單地查看test.png文件中添加的內容可以發現一些字符串，例如“ActiveOfflineKeyLogger”和“UnActiveOfflineKeyLogger”，表明惡意軟件確實試圖獲取用戶輸入的鍵盤數據。

修改主機文件

通過檢測VirusTotal上其他下載toopu.png文件的樣本，還發現攻擊者使用的另一個常見的技巧，即修改本地主機文件內容，將不同反病毒廠商的網址鏈接指向本地主機，從而防止本機訪問這些網址。在其中一個樣本中，惡意軟件修改主機文件(hosts)的內容如下所示：

分析用于構建獲取惡意PNG文件的HTTP請求的函數，可發現似乎該它缺少一些功能。它有大多數HTTP頭的格式化字符串，但只提供了一個用戶代理(User-Agent)和接受語言(Accept-Language)值，且對toopu.png的請求中只有空的referrer和cookie頭。

惡意軟件執行流程

如果該函數獲取PNG文件失敗，它將休眠一段時間然后再次請求。一旦獲取到PNG文件，檢索函數將執行一些基本的驗證操作，以確保獲取的是正確的圖像文件。樣本檢測“200 OK”響應并核對文件長度是否為0x41EA9(269993)，然后移動到嵌入的DLL文件開始偏移0xEA9(3753)。

嵌入的DLL文件實際上包含一些C&C功能，函數中的參數type和cr都被硬編碼成了“loadall”和“yes”。

　　UPX加殼文件內容

PNG文件中還包含了一個UPX加殼文件，該文件中包含一個域名列表和用戶代理列表，C&C對應的域名包括：

niudoudou.com

fxxx114.com

wlkan.cn

it885.com.cn

aquametron.com

加殼文件中包含的用戶代理都是獨一無二的，其中一個列出了Chrome瀏覽器的過時版本，兩個列出了兩個版本的IE瀏覽器，還有一個列出了IE11瀏覽器和火狐瀏覽器。

Chrome用戶代理(Chrome的當前版本是41)是：

Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US)AppleWebKit/534.15 (KHTML, like Gecko) Chrome/10.0.612.1

Safari/534.15

兩個IE用戶代理分別為：

Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1;Trident/4.0; Mozilla/4.0 (compatible; MSIE 6.0; Windows NT

5.1; SV1) ;Maxthon/3.0)

Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1;Trident/4.0; Mozilla/4.0 (compatible; MSIE 6.0; Windows NT

5.1; SV1) ;360SE)

火狐用戶代理為：

Mozilla/5.0 (Windows NT 5.1; rv:11.0) Gecko/20100101Firefox/24.0

IOC哈希值:

331177e4fbde6c98620f1c9927962c79d4c027807357f42002a14a2dc22b4044

b4cb0490afa7da6647dc7f255a6c4c742b649fe4ff853b83f7dd2f948b8686be

1fc6034b3ec99a01e3b2cde22846772656481d7374209ca0f068c8ab181bc8d9

4124a533037373a922b01421caca3821af36099d98b7d6aa534ad9a2c4f40d2b

域名：

niudoudou.com

fxxx114.com

wlkan.cn

it885.com.cn

aquametron.com

IP地址：

174.128.244.58

192.253.234.50

結論

捆綁惡意軟件和其他廣告軟件正在變成越來越常見的攻擊手段。這些嵌入惡意代碼的PNG文件最初的檢出率很低，本文分析的樣本也是如此。所以，用戶必須時刻保持警惕，提防攻擊者安裝其他軟件或者訪問惡意網站。此外，一個分層的安全方法有助于降低這種威脅，它可以限制軟件后臺訪問惡意網站，并能在惡意軟件運行之前阻止它們。