来自 数据 2021-05-02 12:04 的文章

服务器防ddos_香港高防一号_免费试用

服务器防ddos_香港高防一号_免费试用

冠状病毒主题文档针对巴西用户在持续的COVID-19疫情期间,威胁行为体正在利用不同的技术感染世界各地的受害者。ThreatLabZ的研究人员在3月19日发现了一种在野外使用的攻击载体,它的检测率非常低。此攻击向量由一个基于宏的PowerPoint文件(PPS格式)组成,该文件使用多个阶段来感染系统。PowerPoint文件的名称为葡萄牙语,该文件已从巴西上载到VirusTotal。基于此,我们怀疑袭击的目标是巴西用户。文件声称包括一份被冠状病毒感染的酒店和旅馆的名单。文件名用于社会工程目的。当用户打开文件时,它会下载伪装成MP3文件扩展名的恶意内容。在这个博客中,我们将分享关于这种攻击媒介的更多细节和一个简短的技术分析。概述原始文件名:Relaço de hosteis e Hospedes-Estado afetado pelo COVID-19(Novo Corona vírus).pps受科罗娜病毒影响的酒店19号文件名和病毒翻译MD5哈希:90e495357a4c9a4bb1e9cab4b9664367SHA1哈希:EAEF3584FED1F64C9CF00AF5501CDC338AF6C2SHA256哈希:5F7A5DC9E6EF334BE1F766F6FA59237109D6C20A8AA947ECD79B0046394A6F4病毒总数:5/59 技术说明PPS文件中的宏使用Auto_Close()子例程自动下载并使用MSHTA执行恶意VBScript,如下所示。图1:PPS文件中用于下载和执行HTA文件的宏。由于下载的HTA文件是使用MSHTA执行的,因此最终用户将看到一个对话框,其中窗口的标题设置为从中下载该文件的URL,如下所示。图2:当它执行HTA文件时,将显示此对话框。下载的HTA文件包含VBScript代码。它首先通过在一个循环中调用Sleep(1000)36次来延迟执行36秒,如下所示。图3:文件执行延迟36秒。此VBScript中Base64编码的blob与恶意的.NET二进制代码相对应。整个Base64编码的blob以相反的顺序存储。因此,在解码之前需要将其反转。延迟执行后,VBScript将执行以下主要步骤以继续恶意感染:它检查是否存在Windows注册表项:HKCU\SOFTWARE\NYANxCAT\NYANxCAT如果未设置上述Windows注册表项,ddos防御30G多少钱,则Base64编码的blob将写入上述注册表项。它利用PowerShell读取上述注册表项的内容,然后反转并解码Base64编码的blob。结果解码的.NET程序集由PowerShell使用[AppDomain]::当前域。加载()调用入口点。以上所有操作都可以在下面的截图中看到。图4:它使用PowerShell解码、加载和执行.NET程序集。最终有效载荷分析现在,让我们看看解码的.NET程序集,它是使用PowerShell加载的。下面显示了此二进制代码的一些简要信息和元数据。图5:下载的.NET二进制信息。这个.NET二进制代码使用的是开源远程管理工具(njRAT)。在主子程序中这个.NET二进制代码的反编译代码中,我们可以查看这个RAT的所有重要配置信息,如下所示。图6:njRAT二进制配置。此配置包含以下关键信息:主机名:docsgoogle.duckdns.org端口号333是命令和控制(C&C)服务器,该RAT将与它通信以过滤数据并接收进一步的命令。registryName字段硬编码为:8c402acdd17f4b8689。这将被二进制代码用作互斥体名称。当RAT从端点收集信息并将其发送到服务器时,ddos防御软件破解版,splitter字段用作分隔符。组名字段设置为:TllBTnhDQVQ=。这是base64编码的,它解码为:NYANxCAT组名字段NYANxCAT对应于GitHub帐户名,该帐户名用于存储多个开源远程管理工具。GitHub帐户链接是:https://github.com/NYAN-x-CAT本例中的威胁参与者利用了上述GitHub存储库中的RAT代码。下面的屏幕截图显示了这个.NET二进制代码的Start()子例程的一部分,稍后将在博客中详细描述这些活动。图7:NET二进制代码的Start()子例程。执行后,该RAT执行以下关键活动:它将名为"di"的HKCU Windows注册表项设置为值:"!"。这一行为是老鼠的一个独特的指标,我们也看到了在野外的其他njRAT实例中使用的相同代码。它尝试创建一个名为"8c402acdd17f4b8689"的新互斥体。如果它不能用这个名称成功地创建一个新的互斥体,它会将标志设置为false并退出执行。这样做是为了确保机器上只运行一个RAT实例。它会启动一个新线程程序。接收(),免费高防国外cdn,它负责收集系统的基本信息并发送到C&C服务器,如下所示。图8:老鼠收集和发送的基本信息。下面的屏幕截图显示了子例程GetInfo()中的一段代码,其中包含RAT收集并发送到C&C服务器的信息类型的详细信息。图9:老鼠收集的基本信息收集的一些关键信息包括:受感染计算机的唯一指示符,格式为:groupName_HWID,其中HWID是使用GetVolumeInformation()收集的硬件ID机器名称用户名二进制代码的上次写入时间操作系统全名Service pack版本系统是32位(x86)还是64位(x64)的信息系统是否有网络摄像头系统上安装的防病毒软件列表前景窗口标题除了收集有关系统的基本信息并将其发送到C&C服务器外,100m宽带防御多少ddos,主子程序还启动一个新线程,该线程将运行负责记录机器击键并发送到C&C服务器的键盘记录子程序。最后,主线程继续循环连接到服务器,发送带有关键字"act"前缀的前台标题。图10:在循环中连接到服务器。云沙盒检测下面的屏幕截图显示Zscaler云沙盒成功地检测到这种基于PowerPoint的威胁。图11:Zscaler云沙盒检测状态。结论Corona病毒的威胁和威胁正在全球范围内迅速升级。在打开与冠状病毒有关的文件时,即使它们看起来是良性的文件格式(如PowerPoint),也要保持谨慎。作为额外的预防措施,用户不应为从不受信任的源接收的Microsoft Office文件启用宏,因为这些宏能够在计算机上运行恶意代码。Zscaler ThreatLabZ团队将继续监控此次攻击以及其他攻击,怎么建立高防cdn,以帮助保护我们客户的安全。Zscaler_媒体_中心2_博客_发布_1-R1