File name: d3d10core.dll Comodo全开战斗模式 Vs 神网渗透攻击+加密勒索挂马 毛豆败

tg123321

墨家小子 发表于 2016-3-25 22:13
那为什么IE启动的那个exe就被拉进沙盘了？同样是ie创建的dll，毛豆看不到？
你这挽回面子的回复说服力不 ...

毛豆的确看不到dll，也拦不住白加黑~在这方面毛豆的确是弱

导演AZ

求解答 69楼的问题 小白谢谢辣

墨家小子

tg123321 发表于 2016-3-26 19:39
毛豆的确看不到dll，也拦不住白加黑~在这方面毛豆的确是弱

原来专注exe啊？

墨家小子

导演AZ 发表于 2016-3-26 18:21
问下
1 是不是ie下载了那个dll 然后加载这个dll就被感染啦？
2 IE加载了毒dll 是不是这个dll的文件名跟 ...

1 是
2 好像冒充系统里的dll
3 不清楚 会

导演AZ

墨家小子 发表于 2016-3-27 08:26
1 是
2 好像冒充系统里的dll
3 不清楚 会

谢谢 其实这锅一部分微软背 dll采用搜索匹配 不是路径匹配
百度上rundll32是执行dll的  所有dll都是他执行的吗 不管是系统dll还是外来的dll
应用程序和dll roundll32的关系是什么呢
这样的吗？（应用程序请求---roundll32搜索请求的dll 并执行------返回给应用程序）
dllhost说是管理com组件  这个文件名感觉也和dll有关  dll也包含了com吗
小白 要是问题问的傻逼了   别笑

windows7爱好者

导演AZ 发表于 2016-3-27 11:15
谢谢 其实这锅一部分微软背 dll采用搜索匹配 不是路径匹配
百度上rundll32是执行dll的  所 ...

最后一个我也不知道，前两个基本正确

275751198

导演AZ 发表于 2016-3-26 18:21
问下
1 是不是ie下载了那个dll 然后加载这个dll就被感染啦？
2 IE加载了毒dll 是不是这个dll的文件名跟 ...

根据测试楼主样本的经验来回答你，不一定对啊
1.攻击是两条线，一条是生成tmpXXX.exe（加密勒索木马），另一条是注入系统进程下载dll，dll是被感染的系统进程下载的，不是IE下载的。其实感染从打开网页的时候就开始了。网页漏洞攻击使IE执行代码启动conhost，然后conhost启动taskhost和explorer，explorer注入其他系统进程，被注入的系统进程联网下载dll
楼主这个帖子的攻击方式又有点改变regsvr32代替了explorer

2.IE没有加载毒dll，而是被感染的系统进程加载（如笔记本notepad.exe，微软输入法ctfmon.exe）
http://bbs.kafan.cn/thread-2033782-1-1.html            
另外dll的名字和系统文件一样并不是仅仅为了像白加黑一样加载同名dll，楼主本系列的第一个dll我就测试了，文件信息都是微软的，不过没有数字签名，感觉应该是在原文件基础上对原系统文件进行了篡改，以逃避杀毒软件的识别。dll系列我也是上报360好多次，几次三番的和工作人员说，才入库的。

3.一般的挂马方式HTML，js挂马。这都是技术含量不高的。技术含量高的当属漏洞攻击，比如楼主的毒网应该就是IE漏洞攻击http://www.myhack58.com/Article/html/3/62/2014/55961.htm   可以让IE执行任何操作。flash漏洞更是常见的，而国产各家甚至国外杀软都不是百分百识别。
比如这个攻击事件就同时用了IE和flash的漏洞http://drops.wooyun.org/papers/13755

kxmp

那个网站一般都啥时间出问题啊!
我这次也要上了!

墨家小子

kxmp 发表于 2016-4-2 18:52
那个网站一般都啥时间出问题啊!
我这次也要上了!

我真不想刺激你，俺呢，说上就上，根本不用打招呼，玩嗨之后直接闪人你要持怀疑态度信不信老子拿测试视频把你埋喽？

羽扇纶巾

安全模式也算战斗模式？要真正监控全局，必须是疯狂模式。