来自 数据 2021-12-14 12:06 的文章

ddos防御攻击_长沙银行云盾服务开通_超稳定

ddos防御攻击_长沙银行云盾服务开通_超稳定

大约一个月前,影子经纪人黑客组织(shadowbrokers hacker group)发布了一套美国国家安全局(NSA)的黑客工具,其中包括零日漏洞攻击。其中一个漏洞被称为ETERNALBLUE服务器消息块协议(SMB)漏洞(MS17-010)。不可避免的事情发生只是时间问题。一名恶意软件作者利用这个漏洞在全球传播勒索软件,感染了150多个国家的57000台电脑,并关闭了英国16家医院。让我们看看勒索软件WannaDecryptor的恶意软件分析,看看发生了什么。分析当我们的Vmary分析程序第一次对Vmary客户的恶意行为进行最大分数(100分)时,我们的VnRay分析了最大值。然而,当我们再次上传恶意软件与标准配置(包括开放访问互联网),它得到了一个相对较低的VTI得分。其原因是恶意软件首先查找域"iuqerfsodp9ifjaposdfj"hgosrijfaewrwergwea.com网站"看看它是否已经存在。如果与域的连接成功,恶意软件就会退出。否则,如果域连接失败,它将开始感染。我们可以推测,这一机制是由恶意软件作者建立的,作为一个杀死开关来控制或阻止感染的传播。一位现在著名的恶意软件研究人员,通过handle@malwaretechblog发现了这一点,在WannaCry开始传播并注册了这个域名,意图做更多的研究。作为一个愉快的副作用,他阻止了勒索软件的蔓延。查看域是否存在:如图1所示在最后一次分析时,该域已陷落(换句话说,恶意软件可以连接到该域,但它由研究人员控制),因此得分较低。如前所述,当域不可用时,先前的分析给出了100/100的分数,这是恶意行为的最高分数。不久之后,我们的声誉引擎将该文件列入黑名单。有了这些知识,防御ddos攻击的免费工具,我们用不同的配置再次上传了恶意软件。在"配置网络"下,我们为所有作业选择了网络配置"隔离",并运行了分析。正如我们所料,20g每秒ddos防御,VTI分数现在高得多,达到100/100。图2:想要解密器VTI在一个独立的网络上得分100/100进程图显示恶意软件启动了数百个子进程,便宜的高防cdn,这可能令人困惑,但主要程序是直接的,CDN防御游戏DDOS,非常类似于其他勒索软件。有一个不寻常的方面,这个勒索软件也作为一个蠕虫。这数百个进程的原因是勒索软件在完成对特定文件夹的加密后启动可执行文件而不是文本文档。图3:Wana解密过程图在此隔离配置中,域检查失败,恶意软件开始运行。它所做的第一个操作是以参数"-m security"作为服务启动自己。然后装上"任务调度.exe"从资源中取出并放入系统文件夹。此可执行文件负责恶意软件的勒索软件功能。启动的服务是蠕虫组件,它试图通过ETERNALBLUE SMB漏洞(MS17-010)通过网络感染其他受害者。图4:服务扫描网络,通过MS17-010感染其他受害者在行为部分,我们可以看到一个世界地图,看起来像瘟疫爆发,这是由于WannaCry搜索潜在受害者(即易受SMB攻击的机器)时网络扫描引起的。图5:想要解密器行为世界地图独立运行这两个部分。加密程序开始加密每一个文件,它有一个列出的后缀,如"pdf"、"doc"或"jpeg"等。图6:加密文件的部分列表加密例程递归地遍历每个文件夹,网站ddos防御,并加密与预定义后缀列表匹配的每个文件。如果文件夹中的每一个文件都经过加密,它会删除一个名为"WanaDecryptor"的副本@WanaDecryptor@.exe"进入文件夹并启动它。此外,过程"任务调度.exe"开始"@wanadecryptor@.exe用"vs"作为参数。命令行.exe/c启动/b@WanaDecryptor@.exe与图7:开始"@wanadecrytor@.exe带参数"vs"此参数启动一个例程,该例程使用Microsoft工具"Vssadmin"删除所有备份和卷影副本,以确保无法恢复计算机上现在已加密的文件。vssadmin删除阴影/all/quiet&wmic shadowcopy删除&bcdedit/set{default}启动状态策略ignoreallfailures&bcdedit/set{default}recoveryenabled no&wbadmin删除目录-安静图8:vssadmin删除所有备份和卷影副本为了在每次Windows启动时运行(持久化),它还向注册表中添加一个startup@entry。命令行.exe/c reg add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run/v"cxhtclkohdy356"/t注册码/d"\"C:\ProgramData\cxhtclkohdy356\任务调度.exe\""/f图9:向注册表添加启动完成加密后,一个相当典型的勒索软件壁纸被设置,弹出对话框告诉我们,我们所有的文件现在都加密了。我们被要求在几天内支付600美元,以便恢复我们的档案。图10:WannaDecryptor设置的新墙纸图11:想要解密器-借记帐户对话框查看完整的Wanna解密勒索软件分析参考文献https://techcrunch.com/2017/04/08/shadow-brokers-be-back/https://technet.microsoft.com/en-us/library/security/ms17-010.aspx://www.theverge.com/2017/5/12/15630354/nhs-hospitals-ransomware-hack-wannacry-bitcoinhttps://www.forbes.com/sites/thomasbrewster/2017/05/13/wannacry勒索软件爆发研究者阻止/#3097c66f74fchttps://twitter.com/MalwareTechBloghttps://www.forbes.com/sites/thomasbrewster/2017/05/13/wannacry勒索软件爆发研究者阻止/#3097c66f74fchttps://www.vmray.com/analysis/5683641/report/overview.html关于Julius Sewing Julius Sewing是VMRay的恶意软件研究人员,拥有应用计算机科学学位。他还在德国波鸿鲁尔大学攻读IT安全硕士学位。Julius的职责包括调查恶意软件使用的新的感染和规避技术。在业余时间,朱利叶斯喜欢喝咖啡,分析恶意软件或计算机软件,喜欢攀岩。