来自 资讯 2021-05-02 23:00 的文章

抗ddos_ddos防火墙需要开启吗_快速接入

抗ddos_ddos防火墙需要开启吗_快速接入

利用新的反虚拟机和反沙盒技术的恶意文档介绍Zscaler ThreatLabZ最近遇到了一股新的恶意文档浪潮,它们使用一种新的技术来规避自动分析系统。利用许多技术来检测虚拟环境和自动分析系统的恶意可执行文件非常常见,但我们看到这种技术越来越趋向于初始交付载体(即武器化文档)。在这个博客中,我们来看看在最近的恶意文档中看到的一些反虚拟机和反沙箱技术,包括新添加的对microsoftofficerecentfiles计数的检查。武器化文档和反虚拟机技巧恶意软件作者利用带有宏的文档来下载和安装恶意软件的可执行文件已经存在多年了;然而,哪家高防cdn好,我们看到这些恶意文档的逐渐演变使得安全解决方案更难主动检测它们。ThreatLabZ已经看到数百份新的武器文件定期攻击我们的沙盒:图1:新的独特恶意文档vb是一种嵌入在Office中的基本编程语言。Microsoft Office的默认安全设置确保宏在默认情况下处于禁用状态;但是,攻击者使用巧妙的社会工程策略诱使用户启用宏。以下是最近的两个例子:图2:启用宏的社会工程策略恶意软件作者也使宏代码高度模糊,难以被基于签名的系统检测。除了高度模糊的宏,恶意软件作者还在宏中使用多种技术来检测虚拟环境和自动分析系统,ddos攻击种类和防御方法,如下所示:检查#1-查找标准虚拟环境字符串图3:虚拟环境字符串检查检查#2-Windows Management Instrumentation(WMI)接口以识别虚拟环境和自动分析系统图4:检测虚拟环境和沙盒的WMI接口检查#3-查找系统上是否存在已知的分析工具 图5:检查恶意软件分析工具如果任何这些反虚拟机或反沙盒检查是肯定的,哪里有免费高防cdn,那么VBA宏代码执行将终止,最终恶意软件有效载荷不会下载到系统上,从而使其免受自动分析和检测。或者,如果所有反虚拟机检查失败,恶意文档将下载并在受害者的系统上安装一个可执行的恶意软件。我们已经看到多个恶意软件家族利用恶意文档作为初始传递媒介:勒索软件特洛伊木马程序(例如CryptoWall、Locky、Cerber)银行特洛伊木马程序(例如Dridex)后门特洛伊木马程序(例如Matshu、Kasidet)Infostealer特洛伊木马程序(例如Fareit、VawTrak、Pony)新的反虚拟机和反沙盒检查在5月的最后一周,我们开始看到新一波恶意文档利用两种新技术阻止它在许多已知的沙盒解决方案上执行。新检查#1-通过Office RecentFiles属性检测虚拟环境图6:MicrosoftOfficeRecentFiles属性检查RecentFiles属性返回表示最近访问的文件的RecentFiles集合。宏代码检查RecentFiles集合的数量是否小于预定义的阈值,如果为真,5gddos防御,则终止。我们看到的阈值是3或更高。恶意软件作者在此假设,大多数干净的虚拟环境快照将在重新安装Microsoft Office后拍摄,其中可能有一个或两个文档文件打开以测试安装。另外,带有Office应用程序的标准用户系统应该至少有3个或更多最近访问过的文档文件。新检查#2-检查外部IP所有权图7:检查安全供应商、云和托管服务在这里,恶意软件作者利用宏通过以下maxmind GeoIP服务API获取受害者系统的外部IP地址:https://www.maxmind.com/geoip/v2.1/city/me此API请求用户凭据,但我们没有看到恶意文档发送的任何硬编码凭据信息。恶意软件作者正在为此请求设置UserAgent和Referer头,以便在没有任何身份验证的情况下获得响应。我们仍在验证这是设计问题,还是正在被利用的API存在绕过身份验证的问题。图8:外部IP信息的MaxMindAPI用法然后将响应与预先确定的字符串列表(图X)进行比较,其中包括多个已知的安全供应商和托管服务,被ddos攻击怎么防御,以及检测数据中心、托管服务、基于云的安全性和托管服务所有权的通用字符串。如果maxmind对外部IP地址的响应与这些字符串中的任何一个匹配,宏执行将终止。检查成功后,发现这些新的恶意文档集正在从以下URL下载和安装Win32/Matsnu.Q特洛伊木马:arabtradenet[.]网站/信息/目录.dat naivak[.]com/image/office14.ppb 图9:正在下载的Matsnu可执行负载我们还看到了Nitol和Nymaim的有效负载随后被matshu特洛伊木马程序丢弃带有高度模糊宏的恶意文档已经成为网络犯罪分子中越来越流行的一种传播恶意软件可执行负载的媒介。通过向恶意文档本身添加更新的反虚拟机和反分析技术,攻击者正在保护最终可执行的有效负载不被自动分析系统下载和检测。Zscaler ThreatLabZ将继续监控和确保覆盖不断发展的恶意文档威胁以及随后的恶意软件可执行负载。研究人员:Deep Desai、Nirmal Singh、Tarun DewanZscaler_媒体_中心2_博客_发布_1-R1