FALLOUT工具包再现江湖,让你浏览网站时不知不觉中招-黑客接单平台

作者:李宝
围观群众:54
更新于
FALLOUT工具包再现江湖,让你浏览网站时不知不觉中招-黑客接单平台

Fallout的感染流程 感染进程剖析 上述感染流程称为偷渡式下载(drive-by download)。用户阅读歹意或受感染的网页时,歹意代码经过缝隙运用将歹意软件下载到受害者机器上。这种做法相对简略,用户只需阅读网页就能敞开感染进程,既不需要做任何额定的操作,也不需要经过用户的赞同。 为了抵达这一意图,缝隙运用东西包常常会损坏合法的网站,并经过运用各种web缝隙(有时运用XSS)将其感染,再经过一系列网页重定向后将用户导到东西包的登录页面。登陆页面是终究一个歹意页面,它会触发某个缝隙的运用代码。大多数此类网站都是制造成人内容的网站,由于这些网站很抢手,能为进犯者带来最大化感染。 经过查看PowerShell的父进程iexplore.exe,咱们能够看到受害者在阅读网页时运用的是Internet Explorer。

FALLOUT工具包再现江湖,让你浏览网站时不知不觉中招-黑客接单平台

辨认用户拜访的链接 下图演示了前面说到的重定向进程。

在显现EK登陆页面之前进行的一系列重定向 经过运用WHOIS来查看域名的创立日期记载,咱们能够看到该域名是最近注册的,这点是可疑的。以保管在荷兰的“tracpadsforgame [.] info”的WHOIS记载(从DomainTools中获取)为例: 域名:TRACPADSFORGAME [.] INFO 注册表域ID:D503300000129283219-LRMS 注册商WHOIS服务器:whois.namecheap.com 注册商网址:www.namecheap.com 更新日期:2019-02-04 创立日期:2019-08-08 注册日期到期日:2019-08-08 而在曾经的进犯举动中,已有研究人员留意到过上述域名。在2月下旬,该域出现在了RIG EK和AZORult的配对组合中。 下面是保管在“tracpadsforgame [.] info”上的歹意重定向的代码片段。此链接在感染时运用,进犯者常常轮换链接。此代码段在一系列重定向中的其间一个页面上。 (function(h,o,t,j,a,r){ h.hj=h.hj||function(){(h.hj.q=h.hj.q||[]).push(arguments)}; h._hjSettings={hjid:623500,hjsv:5}; a=o.getElementsByTagName('head')[0]; r=o.createElement('script');r.async=1; r.src=t+h._hjSettings.hjid+j+h._hjSettings.hjsv; a.appendChild(r); })(window,document,'//static.hotjar.com/c/hotjar-','.js?sv='); › Check profit calculator » support » 代码的噪声中躲藏了一个歹意iframe符号。iframe会加载歹意域cantouchthis[.]xyz。 加载的cantouchthis[.]xyz页面包含了更多混杂的JavaScript代码。经过整理代码并提取相关的部分,得到如下片段。

FALLOUT工具包再现江湖,让你浏览网站时不知不觉中招-黑客接单平台

JavaScript代码,阅读器指纹辨认 在代码的结尾,运用了eval函数。

JavaScript代码中的eval函数 eval函数编译并履行JavaScript代码。从历史上看,它既是JavaScript中最强壮的函数,也是被乱用最多的函数。

FALLOUT工具包再现江湖,让你浏览网站时不知不觉中招-黑客接单平台

传递给eval函数的去混杂代码 上面的输出是另一组略微混杂过的代码,这段代码用于履行一系列阅读器查看,以确认受害者是否在运用某些特定的阅读器,假如不是就略过,假如查看经过,代码将动态生成一个额定的歹意iframe,以便在visits()中进一步重定向用户。下一个Base64字符串解码为hxxp://ad3[.]dogfunnyvideos[.]]xyz/mydoggystylewithyourkitty,这是用户被重定向到的当地。相似的进程或许重复发作,直到抵达终究的歹意页面。[1][2]黑客接单网

FALLOUT工具包再现江湖,让你浏览网站时不知不觉中招-黑客接单平台

非特殊说明,本文版权归 成益经验网 所有,转载请注明出处.

本文分类: 娱乐

本文标题: FALLOUT工具包再现江湖,让你浏览网站时不知不觉中招-黑客接单平台

本文网址: http://chengyi0769.com/yule/4635.html

发表评论:

◎欢迎参与讨论,请在这里发表您的看法、交流您的观点。