中微子EK:更多的Flash诡计- Malwarebytes Labs必威平台APP必威官方登录备用 | Malwarebytes Labs

Neutrino EK：更多闪光诡计

发布：2016年8月12日通过JérômeSegura.
最近更新时间：2016年8月16日

一段时间后，我们写了关于中微子开采套件表演指纹检查杂草的安全研究人员和蜜罐试图捕获其有效载荷。有趣的是，它从相同的Flash利用中完成了它，它用于危及系统。EK开发人员真的与Flash Player有一种特殊的关系，长时间算上它，因为他们的主要武器直到整合Internet Explorer零天．

继续这个趋势，我们最近观察到一个新的重定向模式，从被攻击的网站，你可能已经猜到，它使用了一个Flash文件。

它不是eit运动虽然，这确实具有带闪光的中间重定向机制。相反，Rogue SWF文件托管在黑客网站上，对于所有意图，目的在其他媒体类型内隐藏在透明景点时无序。

雨后储水区

此外，这个Flash文件执行与我们之前在中微子开发工具包中看到的相同的指纹识别。换句话说，他们复制了这张支票，把它放在感染链上，在虚假流量到达EK大门之前就过滤掉了。

指纹_Checks.

如果满足了各种条件(没有虚拟机，没有安装AV，等等)，SWF文件中的另一段代码负责执行到外部URL的重定向，一个通往中微子EK着陆的门。的陷入困境ExternalInterface.call（）触发__flash__toxml，它指示Flash文件在浏览器中将恶意Iframe写入：

flash_to_xml.

这个门发射中微子EK，它仍然执行相同的指纹识别(不是所有到中微子的路径都包括这个预检查，所以把它保持在EK水平也是有意义的)。

正如我们所看到的，Neutrino EK和它的一些门继续依赖于Flash Player，因为它们合并了更多有用的功能，以保持感染隐身和更少被发现。使用Flash的ActionScript代码而不是普通的，甚至是模糊的JavaScript代码有一个明显的优势，那就是反转Flash文件更耗时，也更乏味。

相关阅读:

必威平台APP伪,Neutrino EK：在闪光灯中指纹
David Ledbetter，一个杂交的中微子EK - rig EK Flash文件
David Ledbetter，把中微子EK分开

国际石油公司:

SWF哈希:some_althoughopen [,] top.swf 3 d496bb988996274397d9466d7019d40d6926574600843f26b7d35343cf00b83 some_outjennifer [,] top.swf 503 e6b9eaf4e808df4c02c2978d66673a1cc59388d10681c11daeb95bd44c567 some_userkevin [] top.swf fc4a5db9e4fe90d34586b0db2e81a41bf794e1597f756107896ee043bf391d9e倾倒SWF本文中使用0496年c126e13208967070e4284af98b7ea91dd343d56d29a955a36eb24f6d9320盖茨:althoughopen[]前/ ignoramus.php althoughopen[]前/ outwear.php althoughopen[]前/ vassals.php outjennifer[]前/ allottee.php outjennifer[]前/ banco.php outjennifer[]前/ calling.php outjennifer[]前/ educated.php outjennifer[]前/ eliminatory.php outjennifer[]前/ logos.php outjennifer[]前/ meted.php outjennifer [] / photoinduced.phpoutjennifer[]前/ plausibly.php outjennifer[]前/ plumier.php outjennifer[]前/ psychotropic.php outjennifer[]前/ reechoing.php outjennifer[]前/ shove.php outjennifer[]前/ sixpence.php outjennifer[]前/ subornation.php outjennifer[]前/ telepathies.php outjennifer[]前/ tilted.php outjennifer[]前/ timbres.php outjennifer [] / transit.phpoutjennifer[]前/ ukeleles.php outjennifer[]前/ vehemently.php outjennifer[]前/ venomers.php outjennifer[]前/ westerner.php userkevin[]前/ ceiling.php userkevin[]前/ egresses.php userkevin[]前/ embalming.php userkevin[]前/ emerging.php userkevin[]前/ mahatmas.php userkevin[]前/ malcontents.php userkevin [] / precooling.phpuserkevin [] / rompers.php