Browlock flies使用完全混淆技术绕过检测

栏目: Node.js · 发布时间: 5年前

内容简介:Browlocks是垃圾邮件活动技术支持的主要驱动力,使用恶意广告和浏览器locker技术来欺骗用户。事实上效果非常明显,因为很多用户相信自己的电脑被黑了,并拨打了伪造的微软支持电话寻求帮助。犯罪分子在不断尝试新的技术来抵制现代浏览器和绕过检测。最近,研究人员发现一个使用base64或十六进制编码来隐藏恶意脚本是一种非常古老的技术。恶意软件依赖这类技术来使恶意代码检测对分析师和扫描器来说都变得非常困难。

Browlocks是垃圾邮件活动技术支持的主要驱动力,使用恶意广告和浏览器locker技术来欺骗用户。事实上效果非常明显,因为很多用户相信自己的电脑被黑了,并拨打了伪造的微软支持电话寻求帮助。

犯罪分子在不断尝试新的技术来抵制现代浏览器和绕过检测。最近,研究人员发现一个 evil cursor 可以防止用户关闭假的告警消息,假的病毒下载会暗示用户电脑已经被感染。此时,浏览器locker页面用编码技术来绕过基于签名的检测。

编码和其他混淆类型

使用base64或十六进制编码来隐藏恶意脚本是一种非常古老的技术。恶意软件依赖这类技术来使恶意代码检测对分析师和扫描器来说都变得非常困难。

技术支持垃圾邮件发送者在浏览器locker模板中也使用了混淆技术。犯罪分子使用下面的十六进制编码伪装了虚假的告警消息:

Browlock flies使用完全混淆技术绕过检测

但浏览器可以读取和解码十六进制编码的内容,并展示给用户以下虚假告警消息:

*************************************************
RDN/YahLover.worm!055BCCAC9FEC Infection
*************************************************

并不是所有的技术支持垃圾邮件browlock都使用混淆技术,但是使用混淆技术也逐渐变成隐藏代码的常用方式。但还没有browlock页完全编码的情况还没有见过。

Soup to nuts编码

研究人员最近在Reddit上发现一个browlock模板进行了完全编码技术,其源代码非常简单和有效:

Browlock flies使用完全混淆技术绕过检测

从代码中可以提取出两个JavaScript库, Zepto.js 和base64.min.js。 Zepto.js 是适用于现代浏览器的最小JavaScript库,含有大量适配jQuery的API。base64.min.js可以获取Base64编码的内容并在传输过程中解码。但数据是从下面的GET请求加载的,而不是主页:

Browlock flies使用完全混淆技术绕过检测

毫无疑问,犯罪分子又一次和网络防御者玩起了猫鼠游戏。犯罪分子甚至创建了一个假的Google Analytics tracker ID: gtag(‘config’, ‘UA-8888888-x’),并使用了看起来非常向Google的域名maps-google[.]us。

对终端用户来说,不管出现了什么样的告警消息,第一是要保持平静,在拨打垃圾邮件发送者给出的热线前再三检查核对。Browlock并不会对计算机造成损害,而且有许多方式可以关闭。一些复杂的还需要用任务管理器来杀掉相关进程,因此研究人员也希望浏览器厂商能够关注和解决这类的问题。


以上就是本文的全部内容,希望对大家的学习有所帮助,也希望大家多多支持 码农网

查看所有标签

猜你喜欢:

本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们

游戏编程入门

游戏编程入门

莫里森 / 人民邮电出版社 / 2005-9 / 49.00元

本书介绍如何设计和构建自己的计算机游戏。书中从零开始,引导读者开发一个“即插即用”的游戏引擎,并基于该引擎,循序渐进地开发7个完整的游戏。全书分为8个部分,共24章,内容包括游戏编程基础知识、如何与玩家交互、使用子画面动画、使用声音和音乐、高级动画、游戏人工智能、增添游戏的趣味性和附加练习。此外,在随书光盘中提供有附录,包括C++语言和windows编程的入门指导、游戏开发工具以及游戏图形创建的介......一起来看看 《游戏编程入门》 这本书的介绍吧!

SHA 加密
SHA 加密

SHA 加密工具

XML 在线格式化
XML 在线格式化

在线 XML 格式化压缩工具

HEX HSV 转换工具
HEX HSV 转换工具

HEX HSV 互换工具