来自 安全 2021-04-06 12:16 的文章

ddos高防ip_当_哪里有国外http抗c服务

ddos高防ip_当_哪里有国外http抗c服务

Ransom32是一种新的勒索软件,以一种非常非典型的风格实现。Emissoft在这里对其功能进行了很好的描述。在我们的帖子中,我们将关注恶意包的一些实现细节。分析样品:09F21EEFAF8F52496D4E8B0692FE6FA概述Ransom32是作为可执行文件交付的,实际上是一个自动解压缩的WinRAR归档文件。默认情况下,它作为扩展名为.scr的文件分发:WinRAR脚本用于将文件放入指定位置并自动运行解包的内容。Setup=chrome i–Setup value指定文件提取后要运行的可执行文件。在这种情况下是这样的chrome.exeTempMode表示文件将被放到%TEMP%文件夹中Silent=1表示安装将在不弹出有关进度的其他弹出窗口的情况下完成在%TEMP%中创建的安装目录:解包内容包括以下文件:chrome.exe欺骗Google的浏览器,但实际上它是负责准备和运行Node JS应用程序(这是勒索软件的主要部分)的一个元素。在chrome.exe从%TEMP%文件夹运行,它将上述文件安装到Chrome浏览器文件夹中的%APPDATA%:存储在Chrome浏览器文件夹中的文件只是运行真正恶意软件的环境。尽管包作为一个整体是折衷的,并且包含属于各种技术的各种文件,但是导致恶意行为的核心是JavaScript文件(NodeJS包)。它们将再次解压到%TEMP%——在一个新文件夹中(其名称遵循模式:nw[number][number])。让我们看看…脚本恶意NodeJS包的内容:文件包.json是一个清单,它定义启动配置和依赖项。1234567891010111213141516171819202122232425262728293031{"name":"app","version":"1.0.0","description":,"main":索引.html","single-instance":false,"scripts":{"test":"echo\"Error:no test specified\"&;exit 1"},服务器没有ddos防御,"chromium args":"--disable accelerated video",cdn节点防御DDoS,"author":"",ddos防御经验,"window":{"frame":false,"resizable":false,ddos防御50g,"在所有工作区可见":true,"show__-taskbar中显示":true,"toolbar":false,"width":800,"height":500,"show":false,"title":"Ransom32","icon":图标.png"},"license":"ISC","依赖项":{"minimatch":"^2.0.10","ncp":"^2.0.0","node rsa":"^0.2.26","socksv5":"^0.0.6"}包的入口点定义为索引.html,如下所示:勒索软件的核心在里面二进制.bin–编译为本机代码并使用函数evalNWBin加载的JavaScript。所有其他组件都是从这个二进制文件内部调用的。它负责加密和解密文件,以及显示赎金笔记和指导受害者。将javascript编译为本机代码已被用作一种保护形式。但是二进制.bin可以告诉我们很多关于这个应用程序的功能。例如,我们可以找到:受攻击的扩展二进制文件部署的函数的名称从内部部署的其他二进制文件的名称用于加密文件的AES配置:带有128位密钥的CTR(整数计数器模式)用于格式化赎金信息窗口的CSS赎金单。如何购买比特币的说明收到付款后显示的消息3个base64编码元素–一个png,一个gif和一个ogg(音频)。加密文件后,将显示ransom nag窗口。gui由javascript生成,布局由包含的CSS定义。internet连接通过包含的Tor客户端操作-重命名为rundll32.exetor客户端由chrome.exe:当我们点击"检查付款"按钮时,将通过Tor客户端发送请求,以验证是否已收到付款:不知道如何使用比特币的用户可以在点击"如何购买比特币"按钮后获得大量有用链接:其他使用的元素在文件夹node_modules中(用NodeJS编写):它使用开源组件:最小匹配:https://github.com/isaacs/minimatch袜子5:https://github.com/msdex/socksv5节点rsa:https://github.com/rzcoder/node-rsa/tree/master/src结论在过去,恶意软件的作者主要关心他们的应用程序的小规模-这就是为什么早期的病毒是用汇编程序编写的。如今,使用的技术和目标都发生了变化。最重要的考虑不是大小,而是模仿合法应用程序的能力,联盟集群ddos防御系统,以避免被发现。勒索32的作者在这个方向上走得很远。与典型的样品相比,他们的包装是巨大的。它由各种元素组成,包括合法的应用程序——即tor客户端(重命名为rundll32.exe)。他们选择的核心技术——节点JS——完全改变了用低级语言编写的恶意软件的方向。然而,编译过的Java脚本(尽管它比未编译的慢30%)并不流行,而且也缺乏分析它的工具——这使得它成为恶意软件作者的一个好地方,因为他们获得了一定程度的代码保护。附录关于勒索的其他帖子32:通过Emissoft通过BLEEPING计算机另请参阅我们关于勒索软件其他例子的帖子:奇美拉特斯拉克