关于恶意软件的分析技术,即如何解码复杂的高级恶意
纯情博客为您提供最新网络安全黑客博客信息资讯
写在前面的话
测试网站安全性最困难的部分之一是确保我们可以找到网站上任何现有的后门。 大多数情况下,攻击者会在网站的各个地方注入恶意代码,以提高网站重新感染的成功率,并尽可能长时间地实现持续感染。
虽然我们之前已经介绍了数百个后门及其相应的影响,但今天我们想与您更深入地讨论一些恶意软件分析技术chatgpt plus黑客技术,即如何解码复杂的高级恶意软件。
本文分析的恶意软件感染样本已经存在了几个月,但感染该恶意软件变体(例如 CMS)的网站数量一直在增加。
恶意软件
成功感染目标网站后,攻击者可能会执行注入后门、Web shell、添加假管理员用户等恶意操作。 一般来说,攻击者会使用一种或多种技术来隐藏他们的恶意代码培训脚本,例如编码、加密、混淆等。
请查看下面给出的代码片段。 其中,攻击者同时使用了上述三种技术。 接下来我们就一步步告诉大家如何解码和分析这段代码。
原始恶意软件片段:
简化代码
在解码过程中,最重要的是了解代码的逻辑结构。 为此,我们使用 PHP 将前面的代码片段转换为下图所示的格式:
虽然到目前为止代码仍然看不懂,但我们现在至少了解了代码的编程逻辑结构。
攻击者在开头声明了一个名为“$”的变量,而这个变量没有实际意义。 根据我们的经验,攻击者可能会使用此变量的值 (406) 来识别恶意软件变体。
另外,还有一些全局变量不会为我们理解代码提供任何帮助,我们可以直接忽略它们。
该恶意软件样本基本上使用字符/字符串修改技术,攻击者将大量十六进制字符存储在变量中,然后将它们编译成不同的变量。
第一个例子如下:
这段代码可以通过下面的bash命令直接翻译:
`$ echo -e"\x47\x4c\x4fB\x41\x4c\x53"
GLOBALS
$ php -r 'echo"\x47\x4c\x4fB\x41\x4c\x53";'
GLOBALS`
这个值(${}['tbb6a'])似乎使用了一些特殊字符来阻止它被翻译,但恶意软件最终似乎并没有使用这个值。 现在,我们可以创建一个简单的 PHP 脚本,自动打印出所有变量及其相应的值。
查找和替换
得到这些信息后,我们就可以使用查找和替换功能了。
第一个变量如下:
我们可以得到如下翻译结果:
为了增加代码的可读性,我们将''替换为'arr'(因为它被声明为array()),然后我们继续翻译字符。
几分钟后wordpress恶意代码,我们的代码如下所示:
现在一切都更清楚了chatgpt,让我们对代码进行一些调整。 其中wordpress恶意代码,前几个变量可以直接替换为以下形式:
`$arr['l0e6'] = ‘chr’;
$arr['ac6c24d1'] = ‘ord’;
$arr['s8bb921e'] = ‘strlen’;`
将代码中的各个变量和值调整到对应的位置后,我们就得到了上面代码中的第一个函数:
恶意目的
替换掉所有函数和变量后wordpress恶意代码培训脚本,我们可以得到如下代码段:
拿到完整且可读的恶意代码后,我们发现了几个有趣的地方:
1、有一个函数叫l3f5()视频培训脚本,它负责通过按位异或计算来进行加密和解密操作。
2、函数()使用了两层异或加密/解密计算。
a) 在第一层计算中黑客纯情,关键是一个预定义的常数:($w158 = '-62fe-4bb9-a1de-';)。
b) 第二层使用的密钥来自POST参数或HTTP。
c) 该函数主要用于对加密的序列化数据进行解码。 其中,序列化数据由攻击者通过 或 POST 参数传递给恶意脚本。
3. 解码后的数据可能包含:
a) 可执行的 PHP 代码。
b) 提供有关后门和 PHP 版本信息的命令。
总结
互联网上有许多不同类型的恶意软件,但并非所有恶意软件都直接通过脚本执行恶意命令。 例如,在这个示例中,它可以通过$_POST或$接收任意命令,并且Web服务器默认不会记录此行为。
为了防止网站被恶意软件感染渗透测试,强烈建议管理员实施文件完整性监控和Web应用防火墙(WAF)等安全措施。 除此之外,我们还建议管理员定期检查网站的日志记录wordpress恶意代码,以尽早发现可疑行为。
* 参考来源:FB编辑编译,转载请注明出处来自.COM
