好友
阅读权限40
听众
最后登录1970-1-1
|
是昔流芳
发表于 2012-1-30 19:31
使用论坛附件上传样本压缩包时必须使用压缩密码保护,压缩密码:52pojie,否则会导致论坛被杀毒软件等误报,论坛有权随时删除相关附件和帖子! 病毒分析分区附件样本、网址谨慎下载点击,可能对计算机产生破坏,仅供安全人员在法律允许范围内研究,禁止非法用途! 禁止求非法渗透测试、非法网络攻击、获取隐私等违法内容,即使对方是非法内容,也应向警方求助!
例子: http://ireknennphole.com/index.php?tp=001e4bb7b4d7333d
看URL就知道这是BlackHole Exploit Kit.一份BlackHole Exploit Kit完全授权售价1500美元,需要注意的是,我提供的BlackHole Exploit Kit并非最新版,也并非提供了所有的漏洞支持.
目前已知利用的漏洞如下(版本不同,所支持的漏洞可能不同).
CVE-2010-1885 HCP
CVE-2010-1423 Java argument injection vulnerability in the URI handler in Java NPAPI plugin
CVE-2010-0886 Java Unspecified vulnerability in the Java Deployment Toolkit component in Oracle Java SE
CVE-2010-0842 Java JRE MixerSequencer Invalid Array Index Remote Code Execution Vulnerability
CVE-2010-0840 Java trusted Methods Chaining Remote Code Execution Vulnerability
CVE-2009-1671 Java buffer overflows in the Deployment Toolkit ActiveX control in deploys.dll
CVE-2009-0927 Adobe Reader Collab GetIcon
CVE-2008-2992 Adobe Reader util.printf
CVE-2007-5659 Adobe Reader CollectEmailInfo
CVE-2006-0003 IE MDAC
主页代码在此 http://pastebin.com/FXUE3vYB
中间脚本用来还原div标签中的内容.
注意这两句
e=window.eval;
e(s);
如果下断点,可以下在这里.
单步进入(F11)即可得到eval执行结果.
不下断点,也可切到DOM,找到变量s.
此为div标签中内容的还原结果.
http://pastebin.com/wKSD2T6b
除此之外,hccp.php的还原结果也可得到.
http://pastebin.com/ixpeJPLn
以上即为BlackHole Exploit Kit第一层的反混淆过程.
下面取得需要解析的文件,包括Flash,PDF,将Shellcode转为EXE文件以便调试(有些文件已经失效了).
先来调试Shellcode,载入文件,可以看到
http://pastebin.com/ajcfaSJN
XOR运算
http://pastebin.com/NDhGaX9q
至此,Shellcode的分析结束,得到http://ireknennphole.com/w.php?f=26&e=6.
使用PDFStreamDumper载入PDF,找到0x2C7到0x2F13的数据流,
http://pastebin.com/viWhnZED
提取脚本内容,复制到Malzilla中,可以得到Shellcode.
http://pastebin.com/TC8hN7we
这里的Shellcode用另一种方法看.
将Shellcode复制到malzilla的Misc Decoders中,选择UCS2 To Hex,然后使用Hex To File,保存下来.
用WinHex或类似的工具打开,可以看到地址.
PDFStreamDumper也可以得出Shellcode中的地址.
另一个PDF类似,不多说.
最后的hhcp.htm中的内容.
对于Jar文件,使用Java Decompiler反编译,得到源码,稍加分析便可得到同样的结果.
总的来说,这个版本的BlackHole Exploit Kit不难,较1.0.2混淆程度小了不少,但执行效率的提高是显而易见的.
这个算福利,看了这几张图,你就明白1500美元有多值了.
(出色的设置页面)
(丰富的统计页面)
(你见过用PDA操作的网马吗?)
Blackhole Exploit Kit 1.0.2 Download
|
免费评分
-
查看全部评分
|
发帖前要善用【论坛搜索】功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。 |
|
|
|
|