Magnitude Exploit Kit Website 5 挂马，捎带MBAE、HMPA测试，拦截，通过

pal家族

Kaspersky

Internet Security

ACCESS DENIED

The requested URL cannot be provided

URL:


http://newyorkcityindustrialboilerrepair<...>


Blocked by Web Anti-Virus

Reason: dangerous URL

Click here if you believe that the web page has been blocked by mistake.

Detection method: databases

Message generated at: 20:47:52

家里的网有魔性，昨天想上油管，结果ss竟然没有用。。。。。

qilitaizhu

qftest

墨家小子 发表于 2016-1-26 14:22
哎呀我去，看你截图才发现漏洞是2015-5122，还算挺新的呢
https://www.fireeye.com/blog/threat-researc ...

有了一些变化，多出一个CVE2015-3113和几个swf，再抓的时侯swf又不见了
看来是多重攻击啊，不只是5122

墨家小子

qftest 发表于 2016-1-27 12:07
有了一些变化，多出一个CVE2015-3113和几个swf，再抓的时侯swf又不见了
看来是多重攻击啊，不只 ...

哈哈哈 你还在玩啊，这个不好玩了，不如之前那个极品毒窝，我每次把影子打开都安装SBie去哪看看有没有新东西，昨天跟今天似乎都没活动，估计黑阔大大又在修炼呢

驭龙

HMPA和MBAE都出现了，我今天没事干，就补个EMET吧

日志名称:          Application
来源:            EMET
日期:            2016/1/27 12:38:51
事件 ID:         2
任务类别:          无
级别:            错误
关键字:           经典
用户:            暂缺
计算机:           win
描述:
EMET detected StackPivot mitigation and will close the application: iexplore.exe

StackPivot check failed:
  Application         : C:\Program Files\Internet Explorer\iexplore.exe
  User Name         : win\win8
  Session ID         : 1
  PID                 : 0xF64 (3940)
  TID                 : 0xF70 (3952)
  API name         : kernel32.VirtualProtect
  ReturnAddress         : 0x03A5A808
  CalledAddress         : 0x779E1830
  Thread stack area range: [0x2B01000..0x2B10000]
  StackPtr         : 0x14748010

事件 Xml:
<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
  <System>
    <Provider Name="EMET" />
    <EventID Qualifiers="0">2</EventID>
    <Level>2</Level>
    <Task>0</Task>
    <Keywords>0x80000000000000</Keywords>
    <TimeCreated SystemTime="2016-01-27T04:38:51.000000000Z" />
    <EventRecordID>1918</EventRecordID>
    <Channel>Application</Channel>
    <Computer>win</Computer>
    <Security />
  </System>
  <EventData>
    <Data>EMET detected StackPivot mitigation and will close the application: iexplore.exe

StackPivot check failed:
  Application         : C:\Program Files\Internet Explorer\iexplore.exe
  User Name         : win\win8
  Session ID         : 1
  PID                 : 0xF64 (3940)
  TID                 : 0xF70 (3952)
  API name         : kernel32.VirtualProtect
  ReturnAddress         : 0x03A5A808
  CalledAddress         : 0x779E1830
  Thread stack area range: [0x2B01000..0x2B10000]
  StackPtr         : 0x14748010
</Data>
  </EventData>
</Event>
================================================
日志名称:          Application
来源:            EMET
日期:            2016/1/27 12:39:13
事件 ID:         2
任务类别:          无
级别:            错误
关键字:           经典
用户:            暂缺
计算机:           win
描述:
EMET detected EAF+ (GuardPage) mitigation and will close the application: iexplore.exe

EAF+ (guard page) check failed:
  Application         : C:\Program Files\Internet Explorer\iexplore.exe
  User Name         : win\win8
  Session ID         : 1
  PID                 : 0x9F8 (2552)
  TID                 : 0x7FC (2044)
  Module         : jscript9.dll
  Mod Base         : 0x68B00000
  Mod Address         : 0x68CA7D0F
  Mem Address         : 0x68B0003C
  Web address         : 地址忽略
  Url zone         : Internet

事件 Xml:
<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
  <System>
    <Provider Name="EMET" />
    <EventID Qualifiers="0">2</EventID>
    <Level>2</Level>
    <Task>0</Task>
    <Keywords>0x80000000000000</Keywords>
    <TimeCreated SystemTime="2016-01-27T04:39:13.000000000Z" />
    <EventRecordID>1925</EventRecordID>
    <Channel>Application</Channel>
    <Computer>win</Computer>
    <Security />
  </System>
  <EventData>
    <Data>EMET detected EAF+ (GuardPage) mitigation and will close the application: iexplore.exe

EAF+ (guard page) check failed:
  Application         : C:\Program Files\Internet Explorer\iexplore.exe
  User Name         : win\win8
  Session ID         : 1
  PID                 : 0x9F8 (2552)
  TID                 : 0x7FC (2044)
  Module         : jscript9.dll
  Mod Base         : 0x68B00000
  Mod Address         : 0x68CA7D0F
  Mem Address         : 0x68B0003C
  Web address         : …………
  Url zone         : Internet
</Data>
  </EventData>
</Event>

qftest

墨家小子 发表于 2016-1-27 12:15
哈哈哈 你还在玩啊，这个不好玩了，不如之前那个极品毒窝，我每次把影子打开都安装SBie去哪看看有没有新 ...

我怀疑跟DNS有关，就试着把原来棒子长安大学的换成湾湾中华电信

墨家小子

qftest 发表于 2016-1-27 12:56
我怀疑跟DNS有关，就试着把原来棒子长安大学的换成湾湾中华电信

赶紧试试这个：http://bbs.kafan.cn/thread-1936308-1-1.html
HMPA没拦截加密，Malwarebytes Anti-Ransomware拦截到了

qftest

墨家小子 发表于 2016-1-27 12:57
赶紧试试这个：http://bbs.kafan.cn/thread-1936308-1-1.html
HMPA没拦截加密，Malwarebytes Anti-Ranso ...

哦，好

墨家小子

qftest 发表于 2016-1-27 12:59
哦，好

期待你的HMPA

驭龙

再来一个DrWeb Katana

2016-Jan-27 12:56:46.410359 [1592] [INF] [1432] [DPH] ShellGuard have got the message: Pid type: 0 Process: C:\Windows\Explorer.EXE[1340]->C:\Program Files\Internet Explorer\iexplore.exe[808]->C:\Program Files\Internet Explorer\iexplore.exe[1048]
Provided message: "Stack pointer invalid"

Additional information: ""

Mitigation type: Anti-ROP (kernel32.dll!VirtualProtect)

Registers:

EAX = 0x08DBA094
ECX = 0x0FCD51C0
EDX = 0x0FCD51C0
EBX = 0x0FCD51C0
ESP = 0x0BACA308
EBP = 0x08DBA0C4
ESI = 0x08DBA110
EDI = 0x050EFB38

ThreadId = 2228

Return address is 0xB92B950

Disassembly near 0xB92B950:
>>>0x0B92B950: push ebx
0x0B92B951: push ebp
0x0B92B952: call 0xb92b967
0x0B92B957: pop ebp
0x0B92B958: pop ebx
0x0B92B959: mov esp, [ebx+0xc]
0x0B92B95C: mov eax, [ebp+0xc]