来自 资讯 2021-12-14 11:10 的文章

cdn防御_山西云盾_零元试用

cdn防御_山西云盾_零元试用

欢迎使用VMRay恶意软件分析报告摘要。我们的研究团队每个月都会提供发布到VMRay Twitter帐户上的恶意软件分析报告的摘要。去年12月,我们的团队分析了Globeimposter勒索软件(Globeimposter-ransomware)的一个变体,一个Windows脚本文件(WSF)下载一个有效载荷来设置一个服务器来接受传入的连接,以及一个利用CVE-2017-11882漏洞的RTF文档。单击下面的链接可跳转到特定报告:全球海报勒索软件通过Necurs僵尸网络交付WSF下载一个有效负载,网安cc防御体系,云盾,它设置一个服务器来接受传入的连接RTF文档利用了CVE-2017-11882漏洞报告名称:通过Necurs僵尸网络发送的全球海报勒索软件发布日期:2017年12月5日SHA256:7A18BFFFD01EEAB08A3F88D35BA5D09106690EA62D01E43D950B6B842AB6C4E76GlobeImporter勒索软件的此变体是由恶意的Visual Basic脚本下载和执行的。这个脚本很可能是由Necurs僵尸网络以电子邮件附件的形式发送的。脚本的第一个操作是联系其C&C(命令和控制服务器)。从报告的网络行为选项卡,我们可以看到C&C位于德克萨斯州休斯顿(图1)。下载有效载荷后,执行GlobeImporter勒索软件。图1网络行为选项卡显示下载负载的C&C然后Globeimposter对用户的文件进行加密,并留下一张带有支付说明的勒索单。赎金便条被称为"Read_ME",放在桌面上(图2)。图2:全球海报勒索单网络罪犯提供对单个文件的免费解密,作为他们拥有有效解密密钥的证据。与其他勒索软件一样,Globeimposter会删除卷影复制服务创建的快照,以便在没有其他备份的情况下,用户不太可能恢复加密的文件。报告名称:WSF下载一个有效负载,该负载设置服务器以接受传入连接发布日期:2017年12月13日SHA256:2999babb0c6ca9fcc1aa03ad5606043d70f45a1495820c7a22250a584d371d70Windows脚本文件(WSF)从黑名单URL下载并执行恶意文件(图5)。有效负载使用诸如进程注入(图4)和将其自身写入Windows启动以实现持久性的常用技术。所有检测到的威胁都可以在报告的VTI选项卡中看到(图3)。图3:检测到来自WSF脚本和丢弃的负载的威胁在这个分析中最突出的是它执行几个进程。如图4所示,它添加了Chakmcat.exe保存到Windows启动文件夹中(在重新启动后仍然有效)。恶意软件注入资源管理器.exe以及runtimebroker.exe,在动态端口上启动本地TCP服务器。图4:显示恶意软件注入多个进程的过程图图5:WSF Downloader连接到黑名单的URL以下载有效负载在这篇报道的最初发布之后,Twitter用户@markwo回复了我们的Tweet,询问我们为什么显示一个TCP服务器监听端口0。Tcp服务器正在侦听端口0?你抓取绑定的实际动态端口吗?除非端口信息被发送到C2,否则后门似乎很奇怪-Mark Wodrich(@markwo)2017年12月14日这不是不正确的行为。在我们的分析中,您可以看到所有必要的信息:[0082.882]套接字(af=2,type=1,protocol=0)返回0xd60[0082.882]htonl(hostlong=0x7f000001)返回0x100007f[0082.882]bind(s=0xd60,addr=0x59df808*(sa_family=2,sin_port=0x0,sin_addr="127.0.0.1〃),namelen=16)返回0[0082.882]listen(s=0xd60,backlog=1)返回0[0082.882]套接字(af=2,type=1,protocol=0)返回0x2108[0082.882]getsockname(in:s=0xd60,name=0x59df818,namelen=0x59df800 | out:name=0x59df818*(sa_family=2,sin_port=0xc116,sin_addr="127.0.0.1〃),namelen=0x59df800)返回0[0082.882]connect(s=0x2108,穿盾cc怎么防御,name=0x59df818*(sa_family=2,棋牌ddos防御,sin_port=0xc116,sin_addr="127.0.0.1〃),ddos防御10g,namelen=16)返回0bind API调用使用sin_port=0x0,让操作系统从动态客户机端口范围(值介于49152和65535之间)为套接字选择一个适当的端口。稍后,getsocknameapi调用用于获取已分配给该套接字的端口(sin_port=0xc116=49430)。但是作为对@markwo问题的回应,我们更新了我们的报告,以包括操作系统为套接字选择的实际端口,而不是显示"0"。您可以看到下面的更新报告。图6:用实际端口号更新的VTI信息报告名称:RTF文档利用CVE-2017-11882漏洞发布日期:2017年12月20日SHA256:1C0A1A7C695D5E1A7497B7FA4F75CF83F12265EACA297B3D72461D110FCB079CVE-2017-11882漏洞利用了Microsoft Office(Microsoft公式编辑器)17年前的组件。图7中的过程图显示了由RTF文档使用的公式编辑器(eqnedt32.exe)。方程式编辑器对攻击者来说是一个有吸引力的过程,因为CVE-2017-11882很容易被利用,因为公式编辑器中缺少启用的漏洞攻击缓解措施,如ASLR和DEP。图7:RTF文档利用的公式编辑器(eqnedt32.exe)RTF文档的有效负载使用典型的恶意软件技术(如进程注入和反分析)来尝试检测附加的调试器,如VTI选项卡中的Detected Threats部分所示(图8)。该漏洞的外壳代码下载已知的恶意文件(lambdoidtegument.exe),删除它,然后执行它。图7:RTF文档下载并执行已知的恶意文件(lambdoidtegument.exe)关于VMRay实验室团队VMRay研究团队提供关于恶意软件分析、事件响应和威胁情报的深入技术内容。