来自 资讯 2021-06-09 04:03 的文章

服务器防御_高防御点化石_方法

服务器防御_高防御点化石_方法

Sodinokibi是一种新的勒索软件,通过托管安全服务提供商(MSSP)感染了成千上万的客户端。它还利用远程服务中的漏洞,如Oracle WebLogic(CVE-2019-2725),并利用大规模垃圾邮件活动在2019年春季激增。BlackBerry®Cylance®的专业服务团队最近观察到一次攻击,海外网站如何防御ddos,攻击者利用Go2Assist通过MSSP闯入客户环境,并部署Passcape的密码恢复工具窃取凭据,然后通过RDP与域控制器建立远程桌面连接,并连接到受害者的Symantec服务器并将其禁用。本文包含了黑莓赛伦斯威胁研究小组发现的一个相关的苏打诺基比样本的最新分析。技术分析文件MD5型e6566f78abf3075ebea6fd037803e176SHA256861BC2122441BCAC9F8095C8DE1B180B398057CBB2D37C9220086FFAF24BA9E08大小160 KB(164864字节)文件类型适用于MS Windows(GUI)的PE32可执行文件Intel 80386 32位别名索迪诺基比,ddos防御程序科手机版,索丁,雷维尔编译时间2019-06-10 15:29:32特征使用curve25519/Salsa20进行文件加密使用curve25519/AES-256-CTR进行密钥加密使用两个公钥加密受害者的私钥(可能意味着有两个实体可以独立解密文件)基于AES的伪随机生成算法用于加密密钥、IVs和url通过大域列表进行C2模糊处理(1079个域)非对称密钥调度算法防止了对C2的需求禁用恢复并删除卷影副本利用CVE-2018-8453执行权限提升使用"天堂之门"方法在32位进程下执行64位攻击代码(在64位操作系统上)避免根据语言代码在某些系统上执行(主要与前苏联国家相关)行为概述在执行时,Sodinokibi将创建一个硬编码名称Global\206D87E0-0E60-DF25-DD8F-8E4E7D1E3BF0的互斥锁,并解密一个嵌入式配置。如果设置了配置中的exp参数,恶意软件将尝试利用CVE-2018-8453获取系统权限(有关更多详细信息,请参阅"权限升级"部分)。如果未配置为执行攻击,或者尝试不成功,它将尝试以管理员身份重新运行自己。Sodinokibi收集一些基本的系统信息,并将其与生成的加密参数一起保存到注册表中。如果未在配置中设置dbg选项,则会检查UI language和keyboard layout值,恶意软件将在使用以下语言代码之一的系统上退出:代码语言0x818号罗马尼亚语0x419号俄语0x819号俄语(摩尔多瓦)0x422个乌克兰语0x423个白俄罗斯语0x425爱沙尼亚语*0x426个拉脱维亚语*0x427号立陶宛语*0x428个塔吉克语0x429号波斯语*0x42B型亚美尼亚语0x42C型阿塞拜疆0x437格鲁吉亚语0x43F型哈萨克语0x440克孜0x442土库曼人0x443号乌兹别克语0x444号鞑靼0x45A型叙利亚人0x2801号阿拉伯语(叙利亚)图1:排除的语言*只有当键盘布局值属于这些国家时,恶意软件才会退出,但操作系统语言值等于其余语言之一。如果系统语言不是排除的语言之一,Sodinokibi将终止配置中由prc值指定的所有进程,并在启动文件加密例程之前删除卷影副本。命令行.exe/cvssadmin.exe文件删除阴影/All/Quiet&bcdedit/set{default}recoveryenabled No&bcdedit/set{default}bootstatuspolicy ignoreallfailures图2:删除卷影副本并禁用恢复的命令行勒索软件将继续加密本地驱动器上的所有文件,跳过配置的例外列表中包含的文件和文件夹。除非恶意软件也试图在网络命令行上加密文件。"文件加密"部分详细讨论了文件加密例程。每个加密文件将通过添加先前生成的伪随机扩展名来重命名,该扩展名存储在注册表中的rnd_ext值中。在每个目录中都会放置一个自述文件,背景墙纸将设置为勒索信息:图3:受感染机器上的桌面墙纸和自述文件自述文件的内容以及勒索信息在配置中再次指定。攻击者请求的密钥是受害者的系统信息和生成的加密元数据的组合(需要导出文件的解密密钥),便宜的高防cdn,AES加密和base64编码(有关更多详细信息,请参阅"文件加密"部分)。配置中影响恶意软件行为的其他参数为擦除(如果设置,wfld下列出的文件夹中的所有文件都将归零并删除)和net(如果设置,勒索软件将向配置中dmn值中列出的一系列域广播受害者的系统信息)。字符串加密和配置所有的字符串都用RC4加密,使用一个可变长度的随机密钥,并在使用前实时解密。每个字符串的密钥不同,它存储在二进制文件中加密字符串之前:.文本:00401B1Dlea eax,[ebp+var_4]。文本:00401B20推出缓冲区。文本:00401B21按3;弦长。文本:00401B23按0Eh;RC4键长度。文本:00401B25按923h;RC4键偏移。文本:00401B2A推偏编码器1;加密字符串表。文本:00401B2F调用decrypt_string;"exp"图4:字符串解密配置也是RC4加密的,防御ddos收费,并与32字节的解密密钥、配置校验和和和长度值一起存储在二进制文件中.reloc部分之前的一个随机命名的部分中:.s7bz:0041E000;第4节。(虚拟地址0001E000);第二部分:第二部分:第二部分:第二部分:第四部分:第四部分:第四部分:第四部分:第四部分:第四部分:第一部分:第二部分:第二部分:第二部分:第二部分:第二步:第二步:第二步:第二步:第二步:第二步:第二步:第一步:第四;第三部分:第四部分:纯数据。第七BZ:0041E000;第七BZ:0041E000;第七BZ:0041E000;段权限:读/写。s7bz:0041E000摇======================================================================================================================================================32.s7bz:0041E000假设cs:_s7bz.s7bz:0041E000;org 41E000h.s7bz:0041E000 cfg_rc4key db 68h,38h,35h,72h,ddos防御文章,68h,54h,56h,58h,61h,76h,4Dh,45h。s7bz:0041E000;数据外部参照:解密配置+40↑o.s7bz:0041E000 db 6Ah,58h,4Ah,78h,75h,58h,4Dh,35h,50h,70h,4Dh,71h。s7bz:0041E000 db 42h,4Ah,38h,76h,38h,4Dh,4Dh,51h。s7bz:0041E020 cfg U哈希dd 0AE445D33h;数据外部参照:解密配置+17↑r.s7bz:0041E024 cfg_len dd 25742;数据外部参照:解密配置+1↑r.s7bz:0041E024;解密配置+24↑r。s7bz:0041E028 enc_cfg db 0B5h,14h,0C7h,67h,5Dh,0C9h,0EDh,29h,0CAh,73h,7Bh,7.s7bz:0041E028数据库22h,0AAh,0E4h,12h,73h,3Bh,8Dh,0A6h,0C2h,6Fh,16h,2Ch图5:加密配置和随机命名部分中的RC4密钥解密后,使用JavaScript对象表示法(JSON)描述配置:{"dbg":false,"dmn":,"exp":真,"fast":真,"img":,"nbody":,"net":真,"nname":"{EXT}"-自述文件.txt","pid":"33","pk":"/svnlpyvd04yhjqwftnhz0bshyz2dzrif+HjkQuTmE=","prc":["sqlagent.exe",     "sqbcoreservice.exe","mysqld_opt.exe文件",     "同步时间.exe",     "excel.exe",    "thebat64.exe"onenote.exe",     "tbirdconfig.exe",     "powerpnt.exe",     "xfssvccon.exe文件",     "甲骨文.exe",     "infopath.exe",     "mydesktopqos.exe",     "dbsnmp.exe文件",     "sqlbrowser.exe",     "mysqld.exe",     "sqlservr.exe",     "写字板.exe",     "thebat.exe",     "agntsvc.exe",     "雷鸟.exe",     "encsvc.exe文件",     "ocomm.exe文件",     "winword.exe文件",     "msaccess.exe","dbeng50.exe","firefoxconfig.exe",     "isqlplussvc.exe",     "ocssd.exe文件",     "visio.exe",     "mydesktopservice.exe",     "sqlwriter.exe",     "ocautoupds.exe","mysqld_nt.exe文件",     "ftemssql.exe",     "mspub.exe文件",     "outlook.exe",     "蒸汽.exe"],"sub":"331","wfld":["backup"],"wht":{"ext":["shs","bin",