来自 资讯 2021-07-13 08:12 的文章

cc防御_防尿酸高的食物有哪些_怎么防

cc防御_防尿酸高的食物有哪些_怎么防

在本周早些时候的"检测Petya/NotPetya"帖子中,我们描述了NotPetya(或"Nyetna"也被命名)在不使用ETERNALBLUE/ETERNALROMANCE SMBv1漏洞的情况下传播到网络上的其他系统的方式。(尽管代码也包含通过此漏洞攻击传播的能力,因此修补仍然是必需的)。恶意软件从受感染主机获取SMB和用户凭据,并使用这些凭据连接到网络上的其他系统,传播恶意软件。因此,一个组织中可能只需要一台受感染的机器就可以关闭网络中的所有系统。在这篇文章中,我们将更深入地探讨NotPetya的功能和破坏能力。磁盘销毁概述虽然最初由于感染后显示的勒索信息被标记为勒索软件,但现在看来,NotPetya的功能更像是一个破坏性的雨刷式工具,而不是真正的勒索软件。最初,分析显示与2016年Petya勒索软件样本有许多相似之处,但进一步研究表明,恶意软件已被修改,导致数据破坏。NotPetya覆盖物理硬盘和C:volume的扇区,ddos防御设置,但不包含恢复文件的能力,使得即使支付了赎金也无法恢复。通过使用Windows API DeviceIoControl,恶意软件能够获得对物理硬盘驱动器的直接读写访问,而无需与操作系统交互(只要它具有适当的管理权限)。这允许代码确定系统上的磁盘和分区的数量,卸载已装入的卷(即使正在使用),并确定系统上驱动器的驱动器几何结构(即扇区数、每个扇区的字节数等)。恶意软件使用该操作系统来销毁关键数据。NotPetya还能够用二进制文件中嵌入的自定义代码替换OS引导加载程序。有关此擦除功能的更多详细信息将在下面的分析部分中讨论。不是"疫苗"还是"杀死开关"NotPetya包含一个在初始执行时尝试确定受害者系统是否已被感染的检查。有人说,创建一个名为"perfc"或性能数据在硬盘的根目录会导致恶意软件停止执行,标榜这是一个"疫苗"或"杀死开关",以防止恶意软件的传播。但是,文件的原始名称是"性能数据"因此,此检查将成功阻止此变量的执行,一个简单的文件名更改将使此保护无效。如下面的示例屏幕截图所示,高防服务器cdn,编写"perfc"或性能数据如果DLL的名称被更改(在本例中为"027"),则不会阻止执行抄送.dll"):单击"图像"展开图1。检查名为"027cc"或"027"的文件抄送.dll"当恶意软件检查与正在运行的进程的名称匹配的文件名时,只需使用一个文件名而不是性能数据"会破坏这种保护。NotPetya分析和技术分析样品(SHA-256):027cc450ef5f8c5f653329641ec1fed91f694e0d229928963b30f6b0d7d3a74564b0b58a2c030c77fdb2b537b2fcc4af432bc55ffb36599a31d418c7c69e94b1NotPetya的分析样本是32位Windows DLL,原始文件名为"性能数据"虽然最初的感染媒介尚未得到确认,但有证据表明乌克兰税务软件MEDoc的更新程序进程对一些初始感染的执行负责。如前所述,尽管恶意软件可以利用SMBv1漏洞传播到未修补的计算机,但它也包含其他传播技术,能够感染甚至修补的计算机。这一点非常重要,因为这意味着网络上只有一个受感染的系统可以在整个企业中传播。下面讨论的传播方法如下:利用易受ETERNALBLUE/ETERNALROMANCE SMBv1攻击的计算机进行攻击通过登录远程系统上的SMB(任何版本)共享,使用从受害者系统获取的凭据感染网络上的系统该恶意软件采用两种独立的凭证获取技术,下面将对此进行更详细的讨论。与Windows可执行文件不同,NotPetya示例等dll包含由外部程序调用以执行功能的"导出函数"。这些导出函数包含在DLL中的一个表中,该表按名称和"序号"编号列出函数。例如,下面是的导出表性能数据:出口名称依次的性能11二入口点[主入口]表1:性能数据导出表DLL有一个默认的导出功能,完全防御ddos,但是在性能数据,静态资源高防cdn,调用此函数将不会执行恶意软件。相反,perfc.1函数必须用序号而不是名称调用,如下所示。恶意软件通常使用这种技术来阻碍分析工作。C: \Windows\System32\rundll32.exe C:\Windows\性能数据,#1首次执行时,性能数据检查正在运行的进程的以下权限:特权名称说明塞舒顿特权进程有权关闭系统。塞德布格特权进程具有调试权限,允许它从其他所有者读取和修改进程的内存。设置权限这表明进程是可信计算机/计算基础的一部分。允许更高权限访问操作子系统。表2:权限描述参考:微软恶意软件设置一个全局标志,指示进程拥有这些特权中的哪一个。授予的特权决定了代码执行的路径,因为它与所使用的传播、加密和擦除方法有关。在检查权限后,恶意软件会枚举受害者上所有正在运行的进程,寻找三种特定的防病毒产品:卡巴斯基、赛门铁克和诺顿安全。可执行文件名是使用自定义的XOR算法加密的,如下所示,并在本文中从carbonblack中解释。图2。使用自定义异或算法加密的可执行文件名称此检查的结果确定恶意软件在传播到远程系统期间的执行路径。特权检查和AV检查的结果都存储在位掩码全局变量中,供整个程序参考。下面是特权检查产生的枚举变量:授予的特权全局标志值塞舒顿特权0x1个塞德布格特权0x2个Seshutdown特权和SeDebugPrivilege0x3个设置权限0x4个SeTcbPrivilege和SeShutdownPrivilege0x5个SeTcbPrivilege和SeDebugPrivilege0x6个SeShutdownPrivilege和SeDebugPrivilege和SeTcbPrivilege0x7个表3:特权检查中的枚举变量指示卡巴斯基、赛门铁克或诺顿是否正在运行的标志如下(如上图所示):防病毒产品全局标志值没有0xFF卡巴斯基0xF7赛门铁克或诺顿0xFB型卡巴斯基和赛门铁克或诺顿0xF3表4:显示的防病毒软件设置此标志值后,恶意软件可以通过对带有常量的标志执行位与操作来确定安装了哪个防病毒软件。这种"位掩码"方法允许恶意软件在一个变量中存储多个值。有关这项技术的更多信息以及NotPetya是如何使用它的,请参阅本文末尾的"Bitmasking"部分。然后,恶意软件会检查权限,并在授予SeDebugPrivilege时执行以下操作:检查是否存在"性能数据"在系统上如果文件存在,则该恶意软件存在(请参阅上面的"NotPetya疫苗或Kill Switch"部分)如果没有,恶意软件会自动复制到受害者的硬盘上打开原始逻辑卷的句柄\.\C:检索驱动器几何结构(每个扇区的字节数、扇区数等)覆盖卷开头的扇区检查是否设置了卡巴斯基标志,并尝试使用自定义引导加载程序覆盖MBR如果卡巴斯基没有运行,MBR覆盖失败,恶意软件将获得第一个物理驱动器(\.\PhysicalDrive0)的句柄,并再次检索几何体然后它会强制卸载卷并覆盖驱动器上的扇区尝试上述操作后,NotPetya将创建一个任务,在计算出的时间量后执行关机,如下所示:如果进程具有上述三种权限,并且操作系统版本为Vista/2008/7或更高版本,则将创建一个计划任务并将其配置为在"SYSTEM"帐户下运行,如下面突出显示的参数所示。如果恶意软件没有适当的权限,则忽略此参数。由和指示的计划时间是根据当前系统时间的操作计算的。命令行.exe/c schtasks/RU系统/创建/SC一次/TN/TR关机.exe/r/f/ST:如果系统运行的是旧版本的Windows(如XP),则恶意软件使用内置的"AT"命令,使用以下命令计划关闭:命令行.exe/c在时:关机.exe/r/f公司接下来,恶意软件创建一个线程来收集有关受害者的网络信息,如果启用了DHCP,则会尝试枚举DHCP服务器上定义的所有子网和子网客户端。恶意软件试图连接到每个主机,使用select()测试SMB端口445和139的写访问权限。然后枚举并保存每个打开端口的主机的网络信息。如果恶意软件具有SeDebugPrivilege,它将继续从其资源部分提取文件。嵌入式资源使用zlib 1.2.8库进行压缩。资源名称说明132位凭证获取二进制264位凭证获取二进制文件三用于远程进程执行的PsExec工具4XOR加密外壳代码(密钥0x86,分析时功能未知)表5:嵌入式资源说明根据系统体系结构的不同,防御ddos攻击系统,凭证采集器的32位或64位版本都会膨胀并写入到%TEMP%中伪随机命名的文件中。不是