新型诈骗花样多,使用多种混淆方法绕过安全检测

栏目: 编程工具 · 发布时间: 6年前

内容简介:大家在使用浏览器浏览网页时,很可能会遇到某些伪装成微软或Google的网站,并告诉你你的电脑遇到了某些异常问题,然后让你拨打页面中给出的电话来寻求帮助。虽然目前大多数反病毒产品都能够检测到这种类型的攻击,即技术支持诈骗(TSS),但网络攻击者现在又开始采用各种新的技术来绕过这种安全检测了。网络犯罪分子为了绕过这种安全检测,TSS开发人员设计出了一种脚本混淆技术来呈现页面中的诈骗信息,并绕过检测。这种混淆技术包括Base64编码,开发自定义混淆程序,或者使用AES加密来隐藏脚本以绕过检测引擎。

前言

大家在使用浏览器浏览网页时,很可能会遇到某些伪装成微软或Google的网站,并告诉你你的电脑遇到了某些异常问题,然后让你拨打页面中给出的电话来寻求帮助。虽然目前大多数反病毒产品都能够检测到这种类型的攻击,即技术支持诈骗(TSS),但网络攻击者现在又开始采用各种新的技术来绕过这种安全检测了。

新型诈骗花样多,使用多种混淆方法绕过安全检测

手法解构

网络犯罪分子为了绕过这种安全检测,TSS开发人员设计出了一种脚本混淆技术来呈现页面中的诈骗信息,并绕过检测。这种混淆技术包括Base64编码,开发自定义混淆程序,或者使用AES加密来隐藏脚本以绕过检测引擎。

在对恶意代码进行混淆处理的时候,传统的TSS攻击者一般只注重一种方法。比如说,他们一般会对恶意代码进行实时混淆,或者在线加密(AES)和解密JavaScript代码。但是根据赛门铁克最新的研究报告,网络犯罪分子再一次升级了他们的技术支持诈骗攻击,为了绕过安全检测,或增加检测难度,他们正在使用多种混淆技术来对恶意脚本代码进行隐藏处理。

赛门铁克的研究人员Chandrayan在报告中写到:“将代码混淆技术应用到技术支持诈骗攻击中,并不是一件新鲜事,但是使用这种多重编码&混淆技术的情况并不多见。一般来说,技术支持诈骗会尝试让基于字符串的检测引擎去对字符串、随机数字或字符来进行检测扫描,但是在大多数场景下这种扫描方式的假阳性会非常高。因此,我们可以认为,这种技术支持诈骗技术使用了现成的编码技术来欺骗反病毒引擎并绕过安全扫描。”

比如说,下面这个是研究人员近期检测到的一个TSS页面,Chandrayan在其中发现了大量经过混淆处理的代码:

新型诈骗花样多,使用多种混淆方法绕过安全检测

上面这段数据接下来会输入到另一个脚本中,而这个脚本会使用atob()这个JavaScript函数来对上述代码进行反混淆处理:

新型诈骗花样多,使用多种混淆方法绕过安全检测

解码之后我们就可以得到一份新的脚本代码,接下来攻击者还会使用AES加密算法来对脚本进行加密。这里使用了热门的代码库CryptoJS来解密这段代码,随后便会将其添加到页面中并呈现技术支持诈骗信息。

新型诈骗花样多,使用多种混淆方法绕过安全检测

值得一提的是,网络犯罪分子所采用的技术支持诈骗攻击策略越来越先进,而且很多攻击者还会将这种技术应用到恶意广告攻击之中。

如果你真的遇到了这种声称你计算机出现问题并要求你拨打帮助电话或下载其他软件的,大家可以直接忽略这个页面或者关闭浏览器就行了。

* 参考来源: bleepingcomputer ,FB小编Alpha_h4ck编译,转载请注明来自FreeBuf.COM


以上就是本文的全部内容,希望本文的内容对大家的学习或者工作能带来一定的帮助,也希望大家多多支持 码农网

查看所有标签

猜你喜欢:

本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们

人工智能基础

人工智能基础

汤晓鸥、陈玉琨 / 华东师范大学出版社 / 2018-4-1 / 35.00元

人工智能基础(高中版)》是面向高中学生的教材。讲授人工智能的发展历史、基本概念以及实际应用,使学生理解人工智能的基本原理,特别是数据、算法与应用之间的相互关系。并结合常见的应用场景,理解人工智能技术(包括感知与决策)的基本工作方式,通过动手实践,更深入地理解人工智能技术的原理、能力,以及在实用中面临的挑战。本书强调人工智能基本理念与原理的传递,注重创造力、想象力、整体思考,以及动手能力的提升。一起来看看 《人工智能基础》 这本书的介绍吧!

JSON 在线解析
JSON 在线解析

在线 JSON 格式化工具

URL 编码/解码
URL 编码/解码

URL 编码/解码

html转js在线工具
html转js在线工具

html转js在线工具