来自 安全 2021-06-09 09:20 的文章

网站防护_云盾是什么_原理

网站防护_云盾是什么_原理

VStronsy矩阵的一个变种是针对工作站的。矩阵勒索软件就在2017年通过Rig EK传播。本文详细介绍了赛伦斯威胁研究小组在分析vssdestory时的观察结果。技术分析我们的分析从恶意软件有效负载的执行开始。执行后,勒索软件会将恶意软件文件的副本放入原始文件的同一目录中,ddos防御服务器搭建,CC防御官网,文件名如下:NW[0-9a-zA-Z]{6}.exe然后使用"-n"选项执行恶意文件的副本:(NW[0-9a-zA-Z]{6}.exe-n)加密:使用newstroy对文件进行加密并重命名:图1:vssdestory加密的文件类型勒索软件创建了一个自述文件供受害者在加密后阅读(图2):图2:加密文件和自述文件该文件指示受害者通过电子邮件向newrar(at)tuta[.]io或newrar(at)cock[.]lu发送电子邮件以获取解密密钥。通过bitmsg的第二条通信途径(hxxps://bitmsg[.]me/),以防目标无法通过电子邮件进行通信(图3):图3:NEWRAR_README.rtf的内容VSSDestory更改受影响系统的背景图像。勒索软件会删除一个名为0-9a-zA-Z]{8}.bmp的图像文件,并将其设置为墙纸(图4)。恶意软件会修改以下系统注册表位置中的墙纸设置:HKCU\控制面板\桌面\墙纸HKCU\控制面板\桌面\墙纸样式HKCU\控制面板\桌面\TileWallpaper图4:赎金墙纸图片受害者将看到墙纸后,Windows重新启动。特洛伊木马程序会删除名为"Handle Viewer v4.11"的Sysinternals工具的修改版本。该工具关闭运行进程捕获的句柄,防御ddos费用,允许勒索软件对其进行加密(图5):图5:句柄查看器[gLxNMqwr.exe]修改后的版本是用UPX打包的,而原来的hashviewer4.11没有打包。如果您解压修改后的版本,那么原始的HashViewer 4.11和修改后的未打包版本之间只有一点区别(图6):图6:HashViewer 4.11在文件加密过程中,内网ddos怎么防御,特洛伊木马程序会将受感染的计算机名称和任何捕获的用户名发送到C2服务器(图7):[.]000webhostapp[.]com/addrecord[.]php图7:HTTP流量vssdestory通过使用NetShareEnum API对一系列网络运行IP增量ARP扫描来搜索远程工作站。如果发现任何问题,恶意软件将继续加密位于远程资源上的文件:图8:ARP扫描删除VSS/禁用启动修复vssdestory旨在调度一个名为DSHCA的任务,如何大家ddos防御系统,该任务运行bat文件(FcHN8mhB.bat公司)每五分钟一次。此过程旨在让勒索软件删除卷影副本并在系统重新启动后禁用启动修复图9:创建计划任务以运行FcHN8mhB.bat公司每五分钟图10:删除卷影副本并禁用启动修复的脚本摘要在测试中,CylancePROTECT®检测并阻止勒索软件文件和恶意脚本。妥协指标(IOC)散列075F86E2DB93138F3291BC8F362E5F54DFDEEB98B63026697B266FBEBDDB00193697be39290126d24363482627ff49ad7ff76ad12bbac43f53c0a3a614db5dD0C7B512610A1206DBF4B4D8C352A26A26978ABE8B5D0D3255F0B02196482A191D07ADBF35EDB6BB96E7B210F17B868ED858802727D6F69C1E5A2D37A9C530cfdbfb9c4a2a80794462f06cf0da43c5977aa61bd3bbe834002703fe44ef0b4(删除的可执行文件)文件名恶意软件执行目录{NW-9a-Z}[0-9a-zA-Z]{8}.bat[0-9a-zA-Z]{8}.txt错误的\[0-9a-zA-Z]{16}.txtelog_[0-9a-zA-Z]{16}.txtLFIN_[0-9a-zA-Z]{16}.txt[您的全球IP地址]_日志.txt[0-9a-zA-Z]{8}.exePROCEXP152.SYS%应用数据%[0-9a-zA-Z]{8}.bmp[0-9a-zA-Z]{8}.vbs[0-9a-zA-Z]{8}.bat每个目录#NEWRAR_自述文件#.rtf[newrar@tuta.io][0-9a-z]{8}-[0-9a-z]{8}.newrarC2s/IPs系统[.]000webhostapp[.]com/addrecord[.]php o 145.14.144.16 o 145.14.144.143 o 145.14.145.178 o 145.14.144.182-分配的IP地址在段中动态更改。hxxp://myexternalip[.]com/原始o 78.47.139.102互斥量哦MutexNEWRAR o MutexNEWRARDONW有趣的字符串/命令o NW[0-9a-zA-Z]{6}.exe-n o powershell"$webClient=New Object-TypeNameSystem.Net.WebClient;$webClient.DownloadString('hxxp://myexternalip[.]com/raw')">"[自身相同目录]\[0-9a-zA-Z]{8}.txt"o reg add"HKCU\Control Panel\Desktop"/v Wallpaper/t reg_SZ/d"%AppData%\[0-9a-zA-Z]{8}.bmp"/f® add"HKCU\Control Panel\Desktop"/v墙纸样式/t reg_SZ/d"0"/f® add"HKCU\Control Panel\Desktop"/vTileWallpaper/t REG_SZ/d"0"/f o"UseBackQ令牌=3,6 delims="