来自 资讯 2021-04-06 15:20 的文章

服务器高防御_怎么防止_国内的cdn流量加速包

服务器高防御_怎么防止_国内的cdn流量加速包

在前一篇文章中,我们展示了在垃圾邮件活动中发送的2个有效负载。一个恶意的二重唱——Upatre(恶意软件下载器)和Dyreza(凭证窃取者)。在这篇文章中,我们将了解Dyreza的核心以及它所使用的技术。请注意,Dyreza是一个复杂的恶意软件,各种各样的样本都有不同的技术——然而,主要功能仍然是常见的。分析样品ff3d706015b7b142ee0a8f0ad7ea2911–Dyreza executable-一个持久的僵尸网络代理,携带带有核心恶意活动的dll5a0e393031eb2accc914c1c832993d0b–Dyreza DLL(32位)91b62d1380b73baea53a50d02c88a5c6–Dyreza DLL(64位)行为分析当Dyreza开始感染计算机时,它像火一样蔓延开来。在processexplorer中观察它,我们可以看到许多新进程的出现和消失。正如我们所注意到的,它部署了explorer、svchost、taskeng……所有这些都是为了混淆执行流程,希望让分析人员感到困惑。恶意文件的2个副本被丢弃在C:\Windows和%APPDATA%中,使用伪随机名称,匹配regex:[a-zA-Z]{15}.exe,即vfHNLkMCYaxBGFy.exe持久性是通过在任务调度器中添加一个新任务来实现的——它每分钟都会部署恶意样本,ddos防御过程,以确保它继续运行。注入到其他进程(svchost、explorer)中的代码与C&C通信:通过检查VirusTotal,我们可以确认,所联系的服务器被报告为恶意的:141.8.226.14->https://www.virustotal.com/en/ip-address/141.8.226.14/information/83.241.176.230->https://www.virustotal.com/en/ip-address/83.241.176.230/information/197.231.198.234->https://www.virustotal.com/en/ip-address/197.231.198.234/information/当我们部署任何web浏览器时,它直接将代码注入其进程中,并且部署不合法连接。它是与C&C保持联系、监视用户活动和窃取凭据的方法。我们还可以看到在TEMP文件夹中创建的文件,这些文件在发送到C&C之前用作一个小数据库,Dyreza在其中存储信息。代码里面主可执行文件Dyreza不能在少于2个处理器的机器上启动。此技术用作防御防止文件在VM上运行。这是基于观察到的,虚拟机通常只有一个处理器——与现在使用的大多数物理机器相比。它是通过检查PEB(过程环境块)中的适当字段来实现的,即FS:[30]。只有在条件满足的情况下才会继续感染。在执行开始时,恶意软件将额外的导入表加载到新分配的内存页中。模块和函数的名称在运行时解密。它检查是否在调试器下部署(使用带有参数SeDebugPrivilege的函数lookupprivilege),如果返回非零值,则终止执行。有效的执行遵循很少的替代路径。根据初始条件(如可执行路径和运行程序时使用的参数)来决定要遵循的路径。当第一次(从随机位置)部署它时,它会将自己的副本复制到C:\Windows和%APPDATA%中,并将副本作为新进程部署。作为已部署副本(从C:\Windows)的参数,它向另一个副本传递路径。如果它是从有效路径部署的,并且初始参数通过了验证,那么它将执行另一个检查,验证它是否是第一次部署。它是通过创建一个特定的全局互斥体来实现的(它的名称是计算机名和操作系统版本的散列,由函数GetComputerName、RtlGetVersion获取)。如果这个条件也满足并且互斥体已经存在,那么它将沿着主路径部署恶意代码。首先,从可执行文件的资源加载加密数据和密钥。T1RY615NR–加密的32位代码,UZGN53WMY–密钥,YS45H26GT–加密的64位代码拆箱:解包算法非常简单–key_数据包含值和data–key_data中值的索引列表。我们处理索引列表并读取相应的值:123456def decode(data,vps防御cc攻击,key_data):解码=范围(0,len(data))中i的bytearray():val_index=数据[i]解码.append(密钥数据[值索引])返回解码此脚本解密转储的资源:https://github.com/hasherezade/malware_analysis/blob/master/dyreza/dyreza_decoder.py显示的内容包含一个要注入的外壳代码和一个带有恶意函数的DLL(相应地32位或64位)。主示例通过检查它是否正在通过WOW64(64位计算机上32位的仿真)运行来选择要解包和部署的一个,抗ddos产品可防御攻击,调用函数IsWow64Process。恶意DLL(核心)在这个阶段,恶意软件的功能变得非常清楚。DLL不包含太多混淆-它有清晰的字符串和典型的导入表。我们可以看到用于与C&C通信的字符串:32位和64位DLL都具有类似的功能。只有与架构相关的元素和字符串是不同的。代理标识系统:然后-将这些数据包括在发送给C&C的信息中:64位版本的DLL中也有类似的过程,只有硬编码字符串"_32bit"被"_64bit"替换:此外,还要检查网络设置(验证并通知C&C客户端是否可以建立回连接-命令:AUTOBACKCONN)它针对以下浏览器:下面-尝试发送被盗的帐户凭据:除了监视浏览器,它还收集有关计算机的一般信息(硬件、用户、程序和服务)–以报告的形式:恶意软件不仅窃取信息和嗅探用户的浏览,还试图完全控制系统-执行各种外壳命令-系统关闭等。以下是一些示例:正在尝试添加具有管理权限的用户命令关闭系统(AUTOKILLOS)C&C公司这个僵尸网络是精心准备的。不仅通信被加密,而且为了防止被发现,还采取了许多对策。首先,C&C的地址是从硬编码中随机选取的泳池。这个池存储在Dyreza DLL(AES加密)的一个资源中。下面,我们可以看到在执行有效负载期间如何解密:(从转储资源中解密C&C列表的脚本如下:https://github.com/hasherezade/malware_analysis/blob/master/dyreza/dyrezadll_decoder.py)另外,由特定C&C提供的证书在每个连接上都会更改。基础设施建立在受损WiFi路由器的网络上(通常是:AirOS、MicroTik)。服务器通过端口443(标准HTTPS)或4443(如果某个路由器的标准HTTPS端口被合法服务占用)接收加密连接。结论Dyreza是一个折衷的恶意软件,防御ddos限制端口,由专业人士开发。很明显,网吧ddos防御怎么填,他们一直在努力提高质量,每一个新版本都有一些新的想法和改进,使得分析变得更加困难。附录非常好的Dyreza/Upatre跟踪器:https://techhelplist.com/maltlqr/–作者@Techhelplistcom(当前样本中的C&C列表:https://techhelplist.com/maltlqr/reports/01oct-20oct-status.txt)本文中使用的脚本:https://github.com/hasherezade/malware_analysis/tree/master/dyreza