黑客web脚本攻击与防御技术核心剖析 乌克兰电力攻击事件分析及防护方案

11/27 23:08:42 来源网站:辅助卡盟网

注入代码主要用于两个方面,1网络连接,地址: 5.9.32.230:443;2对文件Ntkrnlpa.exe进行写入操作,用于对释放的驱动程序进行保护。

通过绿盟科技翠鸟软件行为分析系统Kingfisher中,可以看到该文件的执行流程图如下所示:

如何防御黑客攻击_黑客最常用的web攻击手段_黑客web脚本攻击与防御技术核心剖析

Droper2.exe的执行过程

Driver.sys

驱动文件分32bit和64bit两类,执行的基本功能相同。

驱动程序MD5列表

黑客最常用的web攻击手段_如何防御黑客攻击_黑客web脚本攻击与防御技术核心剖析

驱动程序MD5列表

驱动文件主要用于代码注入,其注入代码完成与C&C服务器通信。

SSH_Backdoor.exe(dropbear.exe)

MD5: fffeaba10fd83c59c28f025c99d063f8

功能:这个文件是一个SSH服务器程序,是从现有的第三方SSH服务端dropbear的代码修改的。使用了内置的默认密码(passDs5Bu9Te7)进行登录验证。

如何防御黑客攻击_黑客web脚本攻击与防御技术核心剖析_黑客最常用的web攻击手段

SSH服务器密码校验代码

SSH服务器程序的RSA认证密钥

该文件是由一段Shell脚本启动的:

1234

Set WshShell=CreateObject("WScript.Shell")WshShell.CurrentDirectory="C:\WINDOWS\TEMP\Dropbear\" WshShell.Run "dropbear.exe-rrsa-ddss-a-p6789",0,false

Killdisk组件

文件1:72bd40cd60769baffd412b84acc03372(MD5)

以服务启动,创建C:\Windows\svchost.exe文件,将自己的代码写入到该文件中,然后将该文件作为服务启动。启动过程可以设置不同的参数,实现不同的功能。

黑客最常用的web攻击手段_黑客web脚本攻击与防御技术核心剖析_如何防御黑客攻击

以服务形式启动该文件的代码片段

以服务形式启动该文件的代码片段

黑客最常用的web攻击手段_黑客web脚本攻击与防御技术核心剖析_如何防御黑客攻击

枚举系统进程并提升进程权限

枚举系统进程并提升进程权限

黑客最常用的web攻击手段_黑客web脚本攻击与防御技术核心剖析_如何防御黑客攻击

黑客web脚本攻击与防御技术核心剖析_如何防御黑客攻击_黑客最常用的web攻击手段

设置系统注册表配置项代码片段

设置系统注册表配置项代码片段

黑客最常用的web攻击手段_黑客web脚本攻击与防御技术核心剖析_如何防御黑客攻击

获取关机权限代码片段

获取关机权限代码片段

文件2: 7361b64ddca90a1a1de43185bd509b64(MD5)

该文件主要用于获取系统权限与清除系统日志。

获取的权限包括:

1112131415

SE_SECURITY_PRIVILEGESE_BACKUP_PRIVILEGESE_RESTORE_PRIVILEGESE_SYSTEMTIME_PRIVILEGESE_SHUTDOWN_PRIVILEGESE_REMOTE_SHUTDOWN_PRIVILEGESE_TAKE_OWNERSHIP_PRIVILEGESE_SYSTEM_ENVIRONMENT_PRIVILEGESE_SYSTEM_PROFILE_PRIVILEGESE_PROF_SINGLE_PROCESS_PRIVILEGESE_INC_BASE_PRIORITY_PRIVILEGESE_CREATE_PAGEFILE_PRIVILEGESE_INCREASE_QUOTA_PRIVILEGESE_MANAGE_VOLUME_PRIVILEGE

如何防御黑客攻击_黑客最常用的web攻击手段_黑客web脚本攻击与防御技术核心剖析

提升进程权限代码片段

提升进程权限代码片段

如何防御黑客攻击_黑客最常用的web攻击手段_黑客web脚本攻击与防御技术核心剖析

清除日志代码片段

清除日志代码片段

如何防御黑客攻击_黑客最常用的web攻击手段_黑客web脚本攻击与防御技术核心剖析

API编码代码片段

API编码代码片段

黑客最常用的web攻击手段_黑客web脚本攻击与防御技术核心剖析_如何防御黑客攻击

初始化安全描述符代码片段

初始化安全描述符代码片段

文件3: cd1aa880f30f9b8bb6cf4d4f9e41ddf4

该文件主要用于对硬盘设备PhysicalDrive%Num%(Num从0到10)进行清零。

黑客web脚本攻击与防御技术核心剖析_如何防御黑客攻击_黑客最常用的web攻击手段

硬盘清零代码片段

硬盘清零代码片段

黑客最常用的web攻击手段_黑客web脚本攻击与防御技术核心剖析_如何防御黑客攻击

文件4: 66676deaa9dfe98f8497392064aefbab

添加了对多种文件类型的处理。

如何防御黑客攻击_黑客最常用的web攻击手段_黑客web脚本攻击与防御技术核心剖析

部分文件类型列表

    暂无相关资讯
黑客web脚本攻击与防御技术核心剖析 乌克兰电力攻击事件分析及防护方案