来自 数据 2021-04-04 21:56 的文章

防止cc_香港_网站遭受攻击怎么办

防止cc_香港_网站遭受攻击怎么办

更新:此特洛伊木马程序也被称为Yebot和Tilon。根据韦伯博士的说法,这个家族至少从2012年开始就在流通。2015年,Ensilo首次以Moker的名义对其进行了描述。//感谢@kafeine的提示不久前,我们观察到一个罕见的,有趣的恶意软件从Rig-vek上掉下来。它的代码说明它是由专业人士编写的。研究表明它是一个Moker特洛伊木马的样本(请在这里阅读更多)。然而,长期以来,我们一直未能找到一个具有数控加工功能的样品来进行更深入的研究。最后,我们找到了这样一个示例—本文将深入研究它的功能。分析样品76987e1882ef27faab675c4a5ce4248d–主要样品–由EK提供(2017年4月)f961bf2d0504e376b3305e9d06f66de3–主模块–DLL(第2阶段)e63913d6d389a6bc5f2aa4036717ac27–主样本(由EK提供)4d9f5048e225e8b4dd5feb8ec489e483–未包装有效载荷(第1阶段)下载的模块:8997b9365c697e757f5a4717ec36fb2d–pluginj382dew1i.exeA169B1694BD334B053B030参考样品(2015年起)9bdd2e72708584c9fd6761252c9b0fb8–样品15f005beb917acfeb28e0a410909e6d6b–样品2650ce9e81d7f86660e2d37cbde8f160a–未包装阶段1分配方法我们发现Moker特洛伊木马是通过漏洞攻击工具分发的——在恶意攻击活动中,以及从被黑客攻击的网站上删除的。示例–Rig-v EK Droping Moker:行为分析恶意软件将自身注入svchost,下列哪些方法防御ddos,然后与CnC服务器联系。网络通信通信是加密的。信标的典型方法是将请求发送到地址:.php?图像=已发送请求的示例:获取/nnnn04722.php?img=1 HTTP/1.1用户代理:Mozilla主持人:比特混音.ml服务器用加密的内容响应(bot将其保存在注册表项中)。然后它将自身注入其他应用程序并发送进一步的请求,包括受感染机器的数据,即:获取/nnnn04722.php?page=&s=p=错误=在下面的例子中,高防cdn哪个好,响应是一个PE文件(bot的更新版本),被XOR用字符"c"混淆。服务器通过发送一些加密内容或一个号码进行响应:=坚持不懈Moker通过在注册表中添加一个Run键来实现其持久性。这种方法一开始看起来很简单。然而,恶意软件的作者将真正的可执行文件隐藏在合法的Microsoft应用程序Rundl32.exe后面。多亏了这个技巧,ddos防御防火墙,我们就更难注意到它了——一个用于检查持久性应用程序的流行工具Sysinternals的autoruns默认情况下不会显示这些键,假设它们是无害的。(可以通过清除默认选项"隐藏窗口条目"来启用查看它们。)Moker的样本被放到当前用户的主目录中:如果我们仔细看一下这个示例,简述ddos防御原理,我们可以看到它与原始示例相比有了一些细微的修改–一些加密信息已被删除:经过进一步的研究(见"内部"部分),这些字节包含CnC地址,前缀是一个特殊的标记。从可执行文件中删除的信息不会丢失,而是存储在其他地方—在为存储恶意软件配置而创建的注册表项中。恶意软件创建的其他密钥保存在".\CLSID\{448D3B34-8D3B-3B34-8D3B-48D3448D3B34}":此处提供注册表项的完整转储。事实证明,从可执行文件中删除的加密CnC地址被保存在注册表项"5"内:与原始样本内部的数据进行比较:另一个键"6"存储一个PE文件(从注册表转储的可执行文件可在此处获得:91f754c3fc475aed93e80575bb503c73)。键"7"存储初始信标后从CnC下载的数据:与服务器响应的内容进行比较:键"10"包含下载模块的名称:新模块存储在ProgramData中:它的持久性还通过Run键添加(与前面描述的情况类似):内部烟雾机由两个主要模块组成。第一阶段是下载程序,第二阶段是包含核心恶意功能的DLL。下载程序将自身以及未打包的外壳代码注入主进程. 下面的屏幕截图显示了主进程:注入的外壳代码负责将初始信标发送到CnC。然后,如果CnC处于活动状态,则下载主DLL并将其注入到其他进程中。在测试过程中,所有在介质完整性模式下运行的32位应用程序都被Moker DLL感染。第1阶段让我们深入研究代码,从滴管开始-这是第一阶段。这是用于启动完整感染过程的二进制文件,最初由漏洞工具包提供。每个样本都由一些加密器打包(不同样本的加密器不同,所以我们不在这里描述这一层)。在攻破了一个加密器的存根之后,我们得到了另一个PE文件,ddos云防御百科手机版,它的布局是Moker的典型。在正常情况下,文本是PE的第一部分,而Moker则是第二部分:数据在原始文件中非常小,但在虚拟映像中正在扩展。所以,我们可以怀疑还有更多的东西被打开了:模糊的执行流程这个模块的内部结构非常有趣。它具有自修改代码,执行基于VEH(向量化异常处理程序)。从安装处理程序开始执行:中的指令在代码中的不同位置使用。它们的作用是通过触发异常来中断执行的连续性。然后,执行被重定向到先前安装的处理程序。根据触发异常的指令的变体,上下文可以通过以下几种方式之一进行更改:上下文修补用于混淆执行流。多亏了这个技巧,代码的静态分析几乎是不可能的——所有的更改都是动态的。第一个用于部署的异常处理程序(EAX)是JMX调用。它由IN AL,触发(参见下面的示例):这就是为什么,如果我们跟踪应用程序发出的API调用,我们会注意到大多数调用都是从代码中的同一地址发出的——只有目标地址在发生变化。不仅执行流程,而且代码本身都是动态修改的。我们可以找到经常调用VirtualAlloc的应用程序:一些加密代码从主可执行文件复制到动态分配的内存中:然后,通过专用函数对它们进行解密:显示的代码几乎准备好了——除了需要填写的呼叫地址。您可以在下面的片段中看到,调用临时指向自己的地址:这在另一个步骤中得到了解决–解码函数返回到另一个代码片段中,该代码片段修改了地址:直到新代码完全显示出来并准备好被调用(参见固定调用目标):当modification函数返回时,执行将落到执行跳转到新代码的行中:所揭示的代码构成了另一层——再次分配、解密和调用代码。提供一些实际功能的代码块总是通过这种代理进行部署,这使得执行流程更加复杂。功能滴管从防御检查开始执行,确保它不会在受控环境中运行。搜索以下注册表项:"HKEY\U LOCAL\U MACHINE\\HARDWARE\\ACPI\\DSDT\\VBOX\"HKEY\U CURRENT\U用户\\软件\\委托人\\关系""HKEY\U LOCAL\U MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Uninstall"->系统分析器如果所有检查都通过,应用程序将从磁盘读取它自己的文件,并在那里搜索一些典型的标记。搜索示例:重要的是,这些标记存在于最外层,即原始PE文件(而不是未打包的PE文件)。多亏了这一功能,了解他们就可以创建一个非常简单的YARA规则来识别吸烟者:rule MokerTrojan公司{串:$key={3D FF 24 8B 92 C1 D6 9D}条件:IsPE和所有的人}上述标记用作指示器,之后将存储加密的CnC地址。另一个典型的Moker特性是mutex,格式如下:"全局\\a0bp-"阻止应用程序多次运行互斥。环境检查通过后,Moker将解压具有下载器功能的shell代码,并将其(以及初始PE文件)注入svchost。第二阶段如果阶段1成功下载了主DLL,则它将被进一步注入到应用程序中。示例–将Moker DLL注入jusched(Java更新调度器):此模块负责恶意软件执行的所有恶意操作–同时,它还主动与其CnC通信。下面您可以看到从注入的DLL内部发送的POST请求示例:如果我们试图转储注入的DLL,我们可以看到,它的导入表已被销毁-所有DLL的名称和导入的函数都将被删除。然而,使用一个专用工具,我能够恢复它(见这里的更多)。DLL提供了RAT的各种典型特性(根据2015年的最新分析,它们没有改变,这里提供)。核心DLL的代码以一种体面的方式编写,显示了作者的专业性。然而,与滴管相反,这里使用的混淆非常简单。大多数字符串和API调用没有被模糊处理,或者以一种简单的方式进行模糊处理。在代码内部,我们可以看到对注册表项的引用,在行为分析期间观察到,即:DLL不仅与CnC通信,还与它的其他注入模块通信,使用本地套接字和命名管道。以下是启动本地侦听套接字的示例:从ipe读取和解析命令:基于