Purple Fox攻击流程中增加了防DDoS新的CVE、隐写术和虚拟化技术-墨者安全-墨者盾
DDOS防御_CC防护_高防CDN服务器_【墨者安全】—墨者盾墨者盾—你的网站贴身保镖!
QQ:800185041
高防免费接入:400-0797-119

渠道合作:156 2527 6999

主页 > CC防护 > Purple Fox攻击流程中增加了防DDoS新的CVE、隐写术和虚拟化技术

Purple Fox攻击流程中增加了防DDoS新的CVE、隐写术和虚拟化技术

小墨安全管家 2020-10-28 16:23 CC防护 89 ℃
DDoS防御

Purple Fox攻击流程中增加了新的CVE、隐写术和虚拟化技术

重新启动程序后,我们再次在VirtualProtect上放置一具断点,并使该断点命中八次。接着,我们将EIP设置为该地址,并使用x64dbg的内置Scylla插件转储二进制文件并修复其导入:

Purple Fox攻击流程中增加了防DDoS新的CVE、隐写术和虚拟化技术

在重新启动计算机后,它将使用其Rootkit功能(躲藏其文件和注册表项)创建一具挂起的svchost进程并注入一具DLL,接着创建一具具有Rootkit功能的驱动程序。

在最新版本的Purple Fox中,攻击者改进了两点。

PowerShell足本和特权升级利用的目的最后来是在计算机上安装rootkit。怎么释放有效载荷和Rootkit组件

IEX ($uyxQcl8XomEdJUJd) 

 

下一时期将遵循与往常版本的Purple Fox类似的模式,首先检查它是否以治理员权限运行。假如是如此,它将直截了当从攻击者的站点安装key = 2的MSI软件包。否则,它会尝试几种不同的“本地特权升级”漏洞来首先提升。

从PE的分区表中能够轻松观看到VMProtect的使用:

 

总结

新特权升级漏洞

Purple Fox攻击流程中增加了防DDoS新的CVE、隐写术和虚拟化技术

有效载荷传播流程

调查显示,Purple Fox反复尝试经过公开可用的漏洞利用代码,包括使用两个最新的CVE-CVE-2020-1054和CVE-2019-0808。

在执行有效载荷之前,它还会在注入的DLL中设置以下内容:驱动程序文件(dump_ {random hex} .sys)——负责Rootkit功能,主组件是一具DLL文件(Ms {random hex} App.dll)。

DLL的代码仍使用虚拟化的调用举行了含糊处理,但幸运的是,我们在字符串中找到了以下代码:

这为我们提供了一具更小的,可调试的DLL文件,其中包含大量纯文本字符串,以关心我们调查恶意软件。

然而,鉴于技术迭代带来的变化,我们想检查有效载荷方面是否还有任何新的进展。

解压缩VMProtect

从编译时的文件夹名称能够看出,该代码来自Git存储库。我们可以快速将漏洞利用追溯到以下公共存储库:CVE-2020-1054,CVE-2019-0808。

Purple Fox攻击流程中增加了新的CVE、隐写术和虚拟化技术

想要记录对该函数的所有调用,就要在“Log Text”框中输入:

 

VirtualProtect: lpAddress={a:[esp+4]}, dwSize={d:[esp+8]}, flNewProtect={x:[esp+C]} ;

逆向VMProtected二进制文件时,有两个要紧障碍需要克服:打包数据和虚拟指令。

在我们观看到的攻击中,经过广告或仅经过单击错误的URL将受害者定向到恶意站点。攻击者将他们的恶意软件托管在speedjudgmentacceleration[.]com上,并针对Internet Explorer用户发起攻击。

此外,如今正在利用两个新的漏洞来关心提升本地特权:CVE-2020-1054和CVE-2019-0808。两者基本上Win32k组件中的内核漏洞。 CVE-2020-1054于今年5月举行了修补。我们发觉利用这些漏洞的攻击者二进制文件分别在2020年8月11日和2020年9月10日举行了编译。

我们首先必须解压缩二进制文件中的数据,为此,我们使用了强大的x64dbg并打开了文件。之后,我们在VirtualProtect函数的开始处放置一具断点:

一旦执行,它将重新启动计算机并使用PendingFileRenameOperations注册表(负责存储操作系统重新启动时将重命名的文件的名称)以重命名其组件。

“.vmp%d” 部分中的入口点清晰地表明了VMProtect

如今,新版本的漏洞利用工具包将下载实际的映像文件(key = 3和key = 4),并使用隐写术将每个LPE嵌入映像中。下面是一具使用的图像示例:


DDoS防御

当前位置:主页 > CC防护 > Purple Fox攻击流程中增加了防DDoS新的CVE、隐写术和虚拟化技术

猜你喜欢

标签列表
DDoS防御
网站分类
X
 

QQ客服

400-0797-119