存档

2012年9月 的存档

诡异的百度实时热点以及搜索引擎劫持

2012年9月23日 14 条评论

去年的某个时候,百度推出了个性化的首页,当百度注册用户登录时可以选择一个个性化的百度页面,个人最关注的当属“实时热点”这一个小模块,按我个人的理解,这个模块罗列出当前热门的搜索关键字,类似从百度实时热点排行榜抽取数据。

今天在“实时热点”发现了一个叫做“利来娱乐”的关键词,抱着好奇的心态我点开了其中一个链接,结果居然跳转到了一个博彩网站,可网站明明写着“三秦都市报”呀,第一感觉就是“三秦都市报”被黑了,同时进行了搜索引擎劫持。所谓搜索引擎劫持,通俗地讲就是在页面代码中断流量是否来自搜索引擎,如果是则跳转到第三方网址,否则打开正常页面。[……]

[译]追踪PlugX Rat作者

2012年9月21日 12 条评论

若干天前,趋势科技发布了一些关于PlugX的信息(RAT的一种新版本)。最近几个月以来我们一直在追踪一群人,他们使用PlugX RAT来攻击不同的目标,尤其是日本、台湾、韩国以及西藏的组织和个人。

本文将着重讲解我们从攻击样本中提取出来的情报信息以及我们如何利用这些信息来追踪RAT的作者,该作者很有可能也参与了这些攻击事件。

在过去的几个月中我们看到了一些使用微软Office溢出攻击(CVE-2012-0158)针对西藏目标发起的钓鱼活动,其中用到的Office恶意文档使用了这样的技巧:恶意样本下载下来的是一个NVIDIA正常文件(NvSmart.exe)、一个DLL(NvSmartMax.dll)以及一个二进制文件(boot.ldr),赛门铁克公司有解释过这种技术。[……]

Conficker/Kido ShellCode

2012年9月14日 8 条评论

考虑到这个学期有门课有个缓冲区溢出的大实验,所以还是决定认认真真的翻一翻《0Day安全 软件漏洞分析技术》上面的相关章节,快速阅读前三章,基本是讲解基本栈溢出的利用以及ShellCode的编写,因为以前也简单的玩过,所以也没什么问题。结合前段时间从Conficker.B中提取出来的ShellCode,简单做点笔记。
Conficker.B内的ShellCode的基本特点是:
1. 代码混淆:开头的两条指令共用了一个字节,干扰反汇编指令
2. 代码重定位:call/pop获取当前某个字节的虚拟地址[……]

继续阅读

[译]我们能相信自己的眼睛吗?

2012年9月11日 8 条评论

几天前一个客户向我们提交了一个样本(SHA1值为fbe71968d4c5399c2906b56d9feadf19a35beb97,检测结果为TrojanDropper:Win32/Vundo.L)。这个木马使用了一种特殊的方式劫持了vk.com以及vkontakte.ru这两个域名(都是俄罗斯的社交网站),并将他们重定向到92.38.209.252的IP地址。

通常劫持一个网站并将其重定向到攻击者的IP地址的方法是修改位于%SystemRoot%\system32\drivers\etc目录下的hosts文件,然而,当我们在被感染的机器上打开hosts文件的时候,里面并没有发现与vk.com和vkontakte.ru相关的重定向规则。

但是当设置显示隐藏文件的时候,我们发现了另一个hosts文件,该文件是隐藏的。
竟然在etc目录下存在两个名字同为hosts的文件,这到底是怎么回事呢?[……]