返回
多家企业网络入侵事件传言的同源木马样本分析报告

多家企业网络入侵事件传言的同源木马样本分析报告

ID:35249499

大小:148.00 KB

页数:38页

时间:2019-03-22

多家企业网络入侵事件传言的同源木马样本分析报告_第1页
多家企业网络入侵事件传言的同源木马样本分析报告_第2页
多家企业网络入侵事件传言的同源木马样本分析报告_第3页
多家企业网络入侵事件传言的同源木马样本分析报告_第4页
多家企业网络入侵事件传言的同源木马样本分析报告_第5页
资源描述:

《多家企业网络入侵事件传言的同源木马样本分析报告》由会员上传分享,免费在线阅读,更多相关内容在应用文档-天天文库

1、多家企业网络入侵事件传言的同源木马样本分析报告.txt男人的话就像老太太的牙齿,有多少是真的?!问:你喜欢我哪一点?答:我喜欢你离我远一点!执子之手,方知子丑,泪流满面,子不走我走。诸葛亮出山前,也没带过兵!凭啥我就要工作经验?文章链接:http://www.antiy.com/cn/security/2010/s100128_002.htm多家企业网络入侵事件传言的同源木马样本分析报告----安天实验室安全研究与应急处理中心(AntiyCERT)----2010-1-26目录第1章攻击事件源起第2章攻击采用的漏洞分析第3章攻击样本分析3.1PE可执行样本的本地行

2、为3.2PE可执行样本的网络行为3.3衍生样本RASMON.DLL的功能分析3.4ACELPVC.DLL、VEDIODRIVER.DLL的同源关系确认3.5ACELPVC.DLL、VEDIODRIVER.DLL的功能分析3.6样本使用的域名分析第4章最终分析意见第5章安天的建议与思考    附录第1章攻击事件源起根据有关事件传言,2009年12月至2010年1月间,多家国际大型企业网络遭受了入侵攻击,对此,相关报道、媒体、以及网络传言都有不同说法,从相关消息汇总来看,其中相对有依据的说法来自几家国际安全厂商,包括Symantec、Mcafee、TrendMacro

3、等,综合根据各厂商已经发布的分析报告和有关报道,较多的结论是相关企业的工作人员受到针对客户端程序的0Day漏洞攻击(业内主要认为是IE浏览器相关漏洞,这个漏洞已经被命名为“极光”),并进而被植入了木马。第2章攻击采用的漏洞分析根据有关描述,安天认为所捕获到的有关漏洞利用代码与有关资料描述的攻击方法是一致的。攻击方法都是利用被称为极光的IE0day漏洞,并对有关代码采用了javascript加密变形,在常见的堆喷射技术的利用代码部分进行了变换,使得堆喷射代码只有在javascript运行后才能看到。其中比较特殊的是采用了String.fromCharCode(sss

4、[i]/7)手段对堆喷射代码进行变形成为数字数组形式,使静态检测堆喷射代码检测困难。但需要指出的是,脚本加密方法是当前网页木马的常规技术手段,整体来看这个攻击的代码的加密复杂程度有被夸大的倾向,实际上相关加密并不难于分析还原。关于有关漏洞的机理网上已经有较多的材料予以说明,用户可以自行搜索予以了解,并可以参靠本报告附录中的有关链接。第3章攻击样本分析安天实验室在此事件过程中并未与相关企业建立直接的联系,相关样本集的主要判定依据是通过使用Mcafee、Symantec所发布资料中对相关样本的命名检索安天样本库的对照命名,并验证有关样本行为基本符合目前相关厂商公开发布

5、文档有关描述。截至到2010年1月26日,安天根据上述病毒对照名称、基因片段关联、行为辅助验证和调用关系,共筛选出关联样本13个进行细粒度分析(其中两个样本直接来自境外反病毒厂商提供),其中3个为PE可执性程序,10个为PE动态链接库。经关联分析确认,3个可执行程序的基本功能逻辑完全一致,最典型行为即:均释放在资源节中部分加密存储的名为Rasmon.dll的动态链接库;而有7个样本原始文件名均为Rasmon.dll,经验证此7个文件基本功能逻辑完全一致,其差异主要是反向连接的外部地址不同等配置差异,且均可加载acelpvc.dll,而acelpvc.dll又进一步

6、加载VedioDriver.dll。因此可以判定3个可执行程序是相关2进制样本的关系逻辑的原点。但由于缺少实际场合验证,且与目前公开资料所公布的一些控制域名指向因被2级域名服务商屏蔽发生变化,安天无法确定相关样本就是相关事件中的样本,只能说明相关样本存在较大的同源性关系。+---------------------------------+---------------+----------------------------------+-------------+

7、MD5

8、样本原始文件名

9、病毒名

10、文件类型

11、

12、--------------------------

13、-------

14、---------------

15、----------------------------------

16、-------------

17、

18、

19、

20、安天:Trojan/Win32.Genome.epoy

21、

22、

23、1B59487D4DC029D92B61ABD4F69C9923

24、30755.malware*

25、McAfee:Roarur.dr

26、PE可执行程序

27、

28、

29、

30、Symantec:Trojan.Hydraq

31、

32、

33、---------------------------------

34、---------------

35、----------------------------

36、-----

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。