来自 应用 2021-12-14 07:23 的文章

ddos高防_游戏高防_原理

ddos高防_游戏高防_原理

Qbot的再出现经过十多年的运营,Qbot特洛伊木马又回到了新闻中。一个修改过的恶意软件版本现在从Outlook中提取电子邮件线程,用于钓鱼攻击,该版本在3月至6月底的一个突出活动中使用。然后,在某些情况下,使用了相同的修改版本,作为7月份Emotet特洛伊木马活动的有效载荷,可能已经影响到全球5%的组织。现在,Qbot正在开始自己的生活,它的恶意垃圾邮件活动在8月发起。Qbot于2008年首次发现,传奇如何防御cc攻击,它从窃取网上银行凭证的银行木马演变为恶意软件的"瑞士军刀",不仅可以窃取凭证,还能分发赎金软件,并进行其他恶意活动。这个恶意软件分析焦点集中在用于交付Qbot的方法之一上,并突出了导致Qbot执行的交付过程的一些有趣特性。与通过嵌入VBA宏的文档传递技术相比,本示例中使用的有效载荷被伪装为不同对象的属性。这可能会绕过静态分析,因为必须考虑到引用的属性才能查看宏的完整行为。查看Qbot的VMRay Analyzer报告Qbot的一种交货方法分析初始传递方法是使用带有嵌入VBA宏的Word文档。宏引用隐藏在表单对象中的数据,该对象也嵌入到文档中。从表单中嵌入的标签中,它提取一个Visual Basic脚本,将其放入文件中,然后通过启动执行explorer.exe将脚本作为参数(图1)。DidierStevens的oledump工具也能够从用户表单中提取信息,如Maldoc:Payloads中所演示的那样。图1:带有"隐藏"数据的恶意文档。VBS包含大量噪声,包括错误和消息的变量声明,一个声称文件原始名称的头是winrm.vbs.它的实际用途是将一组命令写入.cmd文件,然后执行该文件。此功能位于文件中间,周围有前面提到的噪声。编写的cmd脚本调用Powershell,阿里云服务器ddos防御费用,命令作为参数,然后将有效负载从一个硬编码域下载到"C:\BlotRoots"\loterius.exe并使用标准别名saps执行它(图2)。图2:VMRay Analyzer行为–Powershell下一阶段下载。最终有效载荷为Qbot。它包含多个规避技术,在这个阶段,它枚举现有进程,并将它们与硬编码列表进行比较(图3)。接下来,它设置互斥锁,将随机名称的副本和配置文件一起放入%AppData%目录,ddos攻击防御概述,然后启动3个新进程。第一个是使用当前进程的基本映像,但这次使用参数"/C",第二个进程的映像位于%AppData%中,不带任何参数,第三个进程正在执行覆盖Loterios.exe图像与calc.exe(图4)。图3:VMRay函数日志–枚举流程并与内部列表进行比较图4:VMRayAnalyzer行为–创建新流程。以"/C"参数开始的新过程负责反分析技术。就像在枚举运行的进程并将其与内部列表进行比较之前,它还使用SetupAPI枚举设备并将它们与硬编码列表进行比较。它执行的下一个检查是验证当前加载的DLL中没有一个是其列表中的一个(图5)。图5:VMRay函数日志–设备枚举(左)和DLL枚举(右)最后,它验证了示例的名称不包含以下字符串之一(图6):样品mlwr鏾smpl工件.exe图6:VMRay函数日志–验证示例名称在试图识别人工环境之后,最后一阶段被注入explorer.exe地址0x28e0000(图7)。图7:VMray Analyzer行为–注入进程.exe地址0x028e0000然后,这个有效负载解密其名称为"307"的资源之一,并将其加载到地址0x02AC0000(图8)。该资源是Qbot的核心模块之一。对Qbot银行木马的深入分析可以找到一个更详细的Qbot分析。图8:VMRay函数日志和行为–查找资源并为其分配内存(左)和该内存区域的转储(右)。结论在这一分析中,我们可以看到交付可以分为多个阶段,每个阶段都有自己的目的。但是,ddos防御30G多少钱,我们可以很容易地跟踪交付路径,ddos防御的主要方案,观察Qbot的检测机制及其进一步的行为。VMRay分析器的内存转储能力使访问加载在内存中的Qbot核心模块的权限更为轻松。在我们收集样本的一天之后,有效载荷要么被删除,要么被油灰替换。这意味着现在打开文档可以导致下载和执行putty而不是Qbot。IOC样品B2946DAF21B5A0D9C70F32230F6E51FF4AEB939FC9F9A5D372A67F932483C4D有效载荷37790B6946072CCACB7CF9BE694B962DEE2C53818449EBA220F50389D0CFA4A网络hxxp://RIJSChooseFofstard严重[.]nlhxxp://南飞桥湾[.]comhxxp://论坛[.]insteon[.]comhxxp://webtest[.]第[.]ua页hxxp://quoraforum[.]com/hxxp://QuickSolutions[.]comhxxp://bronco[.]是hxxp://Studiomascelaro[.]它hxxp://颅底菌[.]chhxxp://海军工程[.]欧盟IP地址173.172.205.21666.25.168.167201.216.216.24575.182.220.196188.25.26.41213.67.45.19568.134.181.9868.190.152.9875.183.171.15567.165.206.19375.170.94.21873.137.184.213190.24.177.147188.173.70.18216.146.110.6898.190.24.81209.137.209.163189.210.114.15793.151.180.170188.26.11.29186.82.157.66108.46.145.3071.197.126.250175.111.128.23424.71.28.24766.26.160.3771.163.224.206207.255.161.847.153.115.15472.209.191.2776.170.77.9947.153.115.154100.4.173.223200.75.136.78100.37.36.24093.113.177.15277.27.173.867.170.137.8108.185.113.1272.28.255.15924.37.178.158207.255.161.82.90.92.255166.62.180.194103.238.231.4071.182.142.6371.56.53.12735.134.202.234172.87.134.22673.227.232.166190.77.170.19779.115.145.9072.240.200.18172.142.106.19898.11.125.6269.123.179.70187.214.9.13869.11.247.24272.214.55.195189.140.61.20568.174.15.223172.78.30.21568.225.56.3124.234.86.20171.80.66.10796.20.108.1795.76.185.240173.173.72.199188.51.3.210115.21.224.117209.182.122.21770.164.39.9170.95.118.21724.116.227.6398.4.227.199144.202.48.1072.7.65.32178.222.12.16275.137.239.21194.59.241.18973.60.148.20973.30.244.90206.51.202.10670.123.92.175189.163.82.104182.185.40.2236.230.79.17995.77.144.238187.163.101.13795.77.223.14873.214.248.17189.130.26.21666.57.216.5370.164.37.20524.44.142.213159.0.126.13172.82.15.22024.122.157.93207.255.161.8186.6.197.1199.231.221.117188.241.159.2082.89.74.3424.46.40.18968.4.137.211189.183.72.13874.73.120.22686.153.98.12624.229.150.54134.228.24.29151.205.102.4296.234.20.23096.232.163.27208.93.202.4947.44.217.9845.32.154.1098.240.24.575.15.65.1985.193.155.18180.240.26.17845.77.215.141207.246.71.12267.8.103.21199.247.16.80207.246.75.20149.191.3.23473.228.1.24624.139.132.7076.187.12.18192.59.35.19650.244.112.10108.27.217.44199.116.241.14724.201.79.208217.162.149.21259.98.248.25496.41.93.9650.244.112.10678.100.229.4486.182.234.24571.126.139.251165.120.230.10880.195.103.14689.247.217.163216.201.162.158197.210.96.222117.218.208.239174.80.7.23598.26.50.62199.247.22.145关于VMRay实验室团队VMRay研究团队提供了关于恶意软件分析、事件响应和威胁情报的深入技术内容。