BOM返来 | 申博官网
登录
  • 欢迎进入申博官网!
  • 如果您觉得申博官网对你有帮助,那么赶紧使用Ctrl+D 收藏申博官网并分享出去吧
  • 这里是申博官方网!
  • 申博官网是菲律宾sunbet官网品牌平台!
  • 申博开户专业品牌平台!

BOM返来

申博_新闻事件 申博 209次浏览 已收录 0个评论

隐写术东山再起——将歹意软件有用负载写入图片文件

低调但有效的隐写技术虽然是旧把戏,但将代码隐藏在看似正常的图像中,还是可能逃脱许多网络安全人员的法眼。 网络安全的一大挑战就是,过度关注某一类威胁,这意味着有可能被另一种威胁杀个措手不及,尤其是在我们的网络和攻击面不断扩

2013年,McAfee发明俄罗斯黑客运用修正Windows体系上主机文件的方法来流传歹意软件,除此之外,UTF-8 BOM (Byte Order Mark,字节递次符号)字节还能够资助这些歹意进击者绕过检测。

BOM(byte-order mark),即字节递次符号,它是插进去到以UTF-8、UTF16或UTF-32编码Unicode文件开首的特别符号,用来辨认Unicode文件的编码范例。关于UTF-8来讲,BOM并非必需的,由于BOM用来符号多字节编码文件的编码范例和字节递次(big-endian或little-endian)。

由于如许的进击运动依靠鱼叉式垂纶进击来增添受害者点击量,应战就是怎样诳骗邮件扫描器并运用一个看似损坏的文件加载到受害者收件箱中。

当用户用默许的文件管理器来翻开ZIP文件时会涌现下面的错误信息:

 BOM返来

该错误信息注解文件被损坏了,然则研究人员在搜检文件内容时发明一些很新鲜的器械:

 BOM返来

UTF-8 BOM的ZIP header前缀

除有一般的PK署名(0x504B)开首的ZIP header外,研究人员还发明透露表现BOM的3个字节0XEFBBBF。一些对象不会将该文件辨认为ZIP花样的,而是辨认为UTF-8文本文件,而且没法从中提取处歹意payload。

然则像WinRAR和7-Zip如许的对象就会疏忽该数据并准确的提取处内容。当用户用这类对象提取文件时,就能够实行歹意payload并沾染体系。

BOM返来

WinRAR胜利提取的文件

————————————-

申博网络安全巴士站

申博-网络安全巴士站是一个专注于网络安全、系统安全、互联网安全、信息安全,全新视界的互联网安全新媒体。

————————————-

歹意可实行文件会作为一个加载主payload的加载器,主payload会嵌入在resource局部。

 BOM返来

Resource表注解含有加密数据的资本

 BOM返来

resource section中生存的加密DLL

resource中生存的内容是用XOR算法加密的,也在是来自巴西的歹意软件样本中非经常见的。解密的resource是一个加载和实行导出函数BICDAT的DLL。

 BOM返来

用来加载提取的DLL和实行导出函数BICDAT的代码

库函数会下载第二阶段payload,payload是一个密码保护的zip文件并用雷同的函数加密,作为嵌入的payload。在提掏出一切的文件后,加载器会再次实行主可实行文件。

BOM返来

BICDAT函数实行的代码

 BOM返来

与Banking RAT歹意软件相干的代码

运用JS绕过同源战略接见内网

研究人员发现一种利用公网上的JS脚本发起对本地网络的攻击,攻击者使用受害者的浏览器作为代理,使代码可以到达内部主机,并开展监听活动,甚至对有漏洞的服务发起攻击。 同源策略是限制不同源的页面进行交互的web app安全模型,该模型并


申博|网络安全巴士站声明:该文看法仅代表作者自己,与本平台无关。版权所有丨如未注明 , 均为原创丨本网站采用BY-NC-SA协议进行授权
转载请注明BOM返来
喜欢 (0)
[]
分享 (0)
发表我的评论
取消评论
表情 贴图 加粗 删除线 居中 斜体 签到

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址