来自 安全 2021-04-05 00:16 的文章

cdn防御_好用的_防御dos攻击

cdn防御_好用的_防御dos攻击

在前一篇文章中,我们对星云开发工具包交付的钻石福克斯机器人进行了初步分析(更多关于该活动的信息可以在这里找到)。我们描述了解包保护层的方法,以获得可以反编译的用visualbasic编写的内核。在本系列的第二部分中,我们将深入研究代码并分析bot的特性和代码设计。分析样品988e9fa903cc2fbb80e7221072fb2221–钻石福克斯水晶(最终VB有效载荷)3ef960da3e4bc4bc7c05d02fbf121d4e–旧钻石福克斯(最终VB有效载荷)变更日志在黑市上出售的版本中,作者包括了一个变更日志,描述了当前版本(代号为Crystal)之前的所有版本。下面,依靠php防御cc,您可以看到相关片段:水晶版[+]装载机核心已记录[+]改进大小:17.5 kb[+]添加了无限制面板列表[+]增加了域生成算法[+]添加RunOne启动[+]已添加策略启动[+]添加了自动截图[+]添加了安装重定向[+]添加了反WinPcap[+]添加了反病毒总体虚拟机[+]添加了反仿真[-]已删除反酒[-]已将启动持久性移动到持久性[+]添加了僵尸杀手[+]添加了反Avast沙盒[+]增加PE配置存储[+]改进配置预览[+]在lite bot上添加了可选的usb扩展[+]添加了RDP插件[+]添加了VNC抓取器[+]添加了远程shell[+]添加了Close bot命令[+]添加了关闭PC命令[+]改进的web面板安装程序[+]添加了重新启动PC命令[+]在任务上添加了更多机器人选择选项[+]改进的任务管理器[+]添加了对报表的搜索[+]改进面板设置[+]添加了第7层DDoS[+]添加了报告栏统计[+]每周新增/死亡机器人数量统计[+]更新的地理数据[+]添加了机器人移除工具[+]添加了DGA工具[+]改进了面板上的实时通知[+]增加了台式机/笔记本电脑检测[+]添加了管理员检测[+]改进的机器人完整信息[+]添加标记为收藏夹[-]已删除%PROGRAMFILES%安装路径[+]已添加%USERPROFILE%安装路径[-]已删除%WINDIR%安装路径[+]已添加%LOCALAPPDATA%安装路径[-]删除了winlogon启动[+]添加了schtaks启动[-]去除抗磷灰石[-]删除了反诺曼人[-]已拆下防窃听器[-]已删除Xor加密[+]在web面板登录时添加了验证码[+]在web面板登录中添加了Anti-Brutter forcer[+]添加了新的面板徽标[+]改进加密钱包盗贼(+24)[+]改进的主页更改器(添加了internet explorer)[+]改进的键盘记录器(增加了剪贴板检测器和窗口标题触发器)[+]提高机器人速度[+]提高了bot兼容性[+]提高了机器人的稳定性[-]删除了web面板上的"服务"选项卡[+]安装时添加了受保护的文件夹[+]现在可以在windows上安装webpanel而不会出错反编译正如我们在前一篇文章中提到的,Diamond-Fox是用visualbasic编写的,解压后可以用VB反编译器进行反编译。不幸的是,反编译的结果并不完全准确,并且代码的某些部分很难分析。但是,我们仍然可以找出恶意软件执行的最重要的操作。我们提供了反编译代码的部分清理版本:https://gist.github.com/hasherezade/79de1509c8565ec7496cd554092df6f8文件-模块1 vb。执行流程Diamond-Fox从解密和解析配置开始执行-在这个版本中,它存储在"L!NK"。然后,根据配置,启用或禁用一些其他功能。例如,它可以部署防御检查-针对沙盒和虚拟机。存储的参数被加密,并在运行时解密-但是,解密函数不再是以前版本中已知的简单XOR:(请参阅此功能的部分清理版本:https://gist.github.com/hasherezade/79de1509c8565ec7496cd554092df6f8文件-解密vb)除了可以根据配置启用或禁用的功能外,Diamond Fox还提供了由CnC控制的功能。读取CnC的响应:解析命令并执行适当的操作(命令由数字标识-从0到25):特征让我们看看代码内部,并遵循作者提到的特性。[+]装载机核心已记录恶意软件的代码已经被重组,其大部分已经被重写。如果我们反编译新版本并将其与旧版本进行比较,第一眼就能注意到这一点。在当前版本中,所有内容都在一个模块中,而在以前的情况下,代码被细分为不同的模块。旧钻石狐狸反编译(碎片):我们可以看到代码在模块上用描述性名称进行细分,棋牌防御cc,这使得分析更加容易。在新版本中,我们将找不到这种熟悉的布局。钻石狐水晶(新版)反编译代码:新版本引入了另一种存储配置的方法。现在,加密配置在名为"L!NK"。[+]增加了域生成算法在分析的样本中,此功能未启用,CnC地址是静态的。但是,查看代码,我们可以发现域生成算法(DGA)基于当前日期:(请参阅此功能的部分清理版本:https://gist.github.com/hasherezade/79de1509c8565ec7496cd554092df6f8文件-域_generate-vb)添加了反模拟通过尝试加载与虚拟环境关联的DLL,检查示例是否未在VM或沙盒中运行:vboxmrxnp斯比德尔snxhk公司pthreadVC它还附带了一组黑名单的卷序列号,识别流行的沙盒:AC79B241型701446466C78A9C3[+]增加了台式机/笔记本电脑检测通过测试电池是否在笔记本电脑上运行:[+]增加PE配置存储L区!NK不仅用于存储初始配置,还用于存储一些已获取的数据。生成并存储机器人的随机ID:[+]改进加密钱包盗贼(+24)我们可以在钱包中找到用于搜索密码的字符串:MultiBit,Armory,Electrum,数字,-LTC,MultiDoge,BitcoinDark,什么是高防cdn,无钛,破折号,比特,wayosddos防御,Lite,名字,PP,羽毛,新星,Prime,Terra,Dev,Anon,Pay,World,Quark,Infinite,Doge,Asic,乐透,黑暗,Mona深入分析代码,我们发现首先搜索.wallet文件:获取找到的数据并将其传递到另一个函数:该功能负责将抓取的内容发布到CnC服务器:[+]在web面板登录时添加了验证码如果我们试图跟踪行为分析过程中捕获的CnC地址,我们可以观察到它。实际上,在凭证字段附近,我们可以看到一个非常简单的验证码:[+]添加了新的面板徽标Diamond Fox的作者花了大量的精力使图形设计吸引用户。这一次,面板附带了一组在页面刷新时随机更改的徽标。这个功能在恶意软件中看起来很花哨而且多余;但是,它显示了用户体验上的努力。[+]改进的键盘记录器(增加了剪贴板检测器和窗口标题触发器)正如我们在行为分析中所看到的,DiamondFox生成关于捕获用户活动的格式整洁的报告。它们包括剪贴板内容和主窗口的标题,防御CC服务器,其中键入了特定的文本:结论与旧版本相比,Diamond-Fox Crystal已经被可靠地重构。删除描述性模块的名称使分析更加困难。由于加密配置方法的改变,现在检索其内容并不是那么简单。总的来说,钻石福克斯有典型的特点,我们可以期待从偷来的。尽管有了一些改进,但代码质量仍然不尽人意。附录https://www.cylance.com/a-study-in-bots-diamondfox–关于老版的钻石福克斯这是Hasherezade写的一篇客座文章,他是一位对InfoSec有强烈兴趣的独立研究员和程序员。她喜欢详细了解恶意软件,并与社区分享威胁信息。在Twitter@hasherezade和她的个人博客上查看:https://hshrzd.wordpress.com。