来自 资讯 2021-04-05 07:32 的文章

ddos高防多少钱_如何防止_服务器装什么防御

ddos高防多少钱_如何防止_服务器装什么防御

在这篇文章中,我们将报道洛克巴特勒索软件。洛克巴特的开发者已经有两个非常成功的勒索软件活动运行称为"洛克"和"洛克v2"。在一些用户报告感染了Locky Bart之后,我们对其进行了调查,以找出差异,以便更好地了解和理解这个新版本。洛克巴特勒索软件有着不同于其前辈的新功能。它可以在没有任何互联网连接的情况下加密机器。它还有一个更快的加密机制。我们的研究还表明,与原始版本相比,Locky Bart的后端基础设施可能由不同的威胁参与者维护。虽然恶意二进制文件的内部结构有很多相似之处,但也存在一些显著的差异。其中包括:应用程序代码中的注释,但更值得注意的是后端服务器中使用的软件类型。这并不令人惊讶,因为众所周知,网络犯罪分子相互分享、出租、出售甚至窃取恶意代码。Locky-Bart二进制分析在以前的版本中,lockybart使用了一个更简单的加密过程。他们列举了要加密的文件,将每个文件放在一个受密码保护的ZIP存档中,然后重复这个过程,直到所有文件都被加密。创造者没有使用AES-ZIP保护,而是使用了一种旧的算法,正因为如此,研究人员才能够制作一个解密应用程序。Locky Bart执行了一系列相当直接的操作来加密受害者的文件。具体如下:使用VSSadmin擦除系统还原点。生成种子以创建密钥以加密用户的文件。枚举要加密的文件,跳过某些文件夹以加快加密速度。使用生成的密钥加密枚举文件。加密用于用主密钥加密文件的密钥,主密钥现在成为受害者用来标识文件的"UID"。在桌面上创建一张勒索通知,上面有一个指向付款页面的链接和他们的"UID"。用于生成种子的函数,用于创建加密文件的密钥。它使用诸如系统时间、进程ID、线程ID、进程活动时间和CPU周期等变量来生成一个随机数。用于枚举和加密文件的函数。Locky Bart会跳过任何包含这些字符串的文件夹。Locky Bart要加密的目标文件类型。洛克巴特用来做赎金笔记的绳子。"KH5CMZH5Q7YP7洋葱"是支付服务器,"AnOh/Cz9MMLiZMS9k/8huVvEbF6cg1TklaAQBLADaGiV"是一个示例UID,它将与URL一起发送到服务器,以便受害者进行支付。请记住,UID只是密钥的加密版本,可用于解密受害者的文件。巴特·洛克伊的创造者是如何获得钥匙的,这是这个版本与它的前辈不同的地方。当勒索软件的受害者访问网址支付赎金时,他们不知不觉地将自己的解密密钥发送给罪犯。让我们用一种更细粒度的方法来分解这个过程,以便更好地理解它。Locky Bart收集受害者机器上的信息,创建加密密钥。Locky Bart使用在上一步中创建的种子密钥加密用户的文件。然后,Locky Bart使用公钥/私钥对方法的公钥,使用单向加密机制对原始加密所用的密钥进行加密。第二次加密的私钥驻留在恶意服务器上,受害者永远无法访问它。然后Locky Bart在受害者的机器上生成一个URL。它包含指向托管恶意后端网站的TOR closed.onion地址的链接。此URL中包含用户ID。此UID是原始解密密钥,以加密形式存在。受害者访问.onion站点,恶意服务器获取加密的UID。但是,这个UID对于受害者是没有用的,因为他们没有私钥来解密他们的文件。然而,勒索软件创建者的服务器是这样做的,这意味着他的服务器不仅可以使用UID来识别受害者,还可以在支付赎金时将UID解密到受害者的密钥中。最终,只有勒索软件的创造者可以解密用户的文件,而且由于这个特性,不需要访问恶意服务器来加密文件。Locky-Bart软件保护技术Locky-Bart二进制文件还使用了软件保护技术。这种技术被称为代码虚拟化,通过使用名为"wprotect"的程序将其添加到Locky-Bart二进制文件中。这使得二进制代码的反汇编变得非常困难,ddos攻击防御便宜,并使代码的单步执行变得复杂,直播高防cdn,这是一种用来理解二进制代码的技术。这类软件的合法使用在反盗版机制中最为典型。这种软件的商业版本的一个例子就是Themida。LockyBart的作者可能选择了这种特殊的防篡改机制,因为它是免费的、开源的,并且提供了许多特性。采用软件保护技术是一个令人不安的发展。这些应用程序(包括wprotect)使逆向和分析变得更具挑战性。洛克巴特服务器Locky Bart的后半部分是服务器和后端。该服务器用于向受害者提供支付赎金的支付机制。接收用作支付方式的比特币。将比特币转移到其他钱包。为受害者生成一个解密EXE。给受害者提供解密EXE给受害者。收集关于受害者的更多信息。LockyBart后端运行在一个名为yii的框架上,yii是一个高性能的PHP框架,最适合开发web2.0应用程序。这个框架包含了大量关于洛克巴特内部运作的信息。yii调试面板包含有关配置服务器的大量信息访问此控制面板显示:服务器上运行的所有软件的每个配置设置,例如PHP、Bootstrap、Javascript、Apache(如果使用)、Nginx(如果使用)、ZIP等等。向服务器发出的每个请求,包括请求信息、头信息、正文、时间戳以及它们的来源。显示每个错误、跟踪和调试项的日志。所有自动电子邮件功能。MYSQL监控,安全狗防御cc设置,显示每个语句的执行及其返回。lockybart将信息存储在MYSQL数据库中。MYSQL服务器的凭证位于站点的"Common"文件夹中的"Config"PHP文件中。示例路径如下所示:/srv/common/config/main-本地.phpLocky Bart服务器MYSQL配置文件的内容MYSQL数据库中包含的信息包括受害者的唯一标识符、加密密钥、比特币地址、付费状态和时间戳。数据库中保存勒索软件信息的表的一小部分。洛克巴特服务器还包含第二个数据库,百度云加速ddos防御,其中包含勒索软件受害者的进一步信息。洛克巴特勒索软件的"统计"表的例子。在服务器上找到的"自述文件"似乎详细说明了Stats数据库的一些特性。Locky Bart服务器包含一个"BTCwrapper.php它使用了一个"controller"方法,该方法公开了所有其他PHP文件都可以调用的BTC Wallet类。此类通过用户名和密码初始化到比特币服务器的连接。这个课程包含了控制和使用犯罪分子设置的BTC主钱包来存储所有收到的钱的完整方法。这个钱包定期清空。这个类还可以创建新的BTC地址,并且能够在支付到主钱包时清空这些钱包。还有一些方法可以检查每个受害者的付款情况。BTCWrapper类调用的一些函数。BTCWrapper类的前几个函数。该类使用CURL联系本地运行的比特币服务器,该服务器与区块链通信。洛克巴特服务器有2个比特币地址,受害者的付款被转移到那里。当前的一个: 与Locky Bart相关联的当前BTC地址在其生命周期内累积了7671.60美元。第二个,在恶意服务器上的PHP配置中引用。另一个老的BTC地址也与Locky Bart有关,累积了457806.06美元。勒索软件的服务器部分被配置成与合法业务非常相似的功能。它反映了一个"支持票证部门",在那里用户可以联系勒索软件支持,以解决他们可能遇到的任何问题。整个过程是完全自动化的。用户会被感染,并按照勒索通知的指示访问网站。当他们访问站点时,服务器会生成他们唯一的BTC地址并自动呈现给他们。在这之后,如果用户决定支付赎金,但如果他们有任何问题,他们可以直接联系支持人员。如果他们真的做出了支付的决定,他们将继续通过多种可用的方式购买比特币(BTC ATM、LocalBitcoins——这允许你在当地与人见面,用BTC交换货币,或使用Western Union等银行和线路,或者用信用卡在线购买)。一旦用户在自己的BTC钱包里有勒索软件指定的金额,他们就会把钱从钱包转到勒索软件支付页面为他们生成的支付地址。勒索软件服务器每隔几分钟检查一次,看是否有人为受害者付款,以及是否确认了付款。一旦服务器验证了付款,他们会在数据库中将受害者标记为"已付款"。当受害者被标记为"付费"时,服务器会生成一个"解密工具EXE",并将加密密钥写入该EXE的二进制文件中,并在受害者的个人支付页面上显示一个下载该文件的链接。稍后当受害者再次检查他们的支付页面时,服务器没有ddos防御,他们会看到链接,下载工具,并解密他们的文件。受害者解密工具的生成。结论这个