来自 网络 2020-07-11 13:53 的文章

游戏盾_服务器防护盾_快速接入

洛克勒索软件的幕后黑手一直在不断更新和改进其分布的恶意软件,安全研究人员也在竞相跟上这些化。思科的Talos研究团队是这项工作的一部分,该组织发布了一种新工具,可以转储给定样本的所有配置信息,ddos防护效果,抗ddos防护,并帮助防御者跟踪分发Locky勒索软件的分支机构。Lucky出现在2016年初,与许多勒索软件种一样,它主要通过垃圾邮件进行分发。有很多不同版本的Locky,而Cisco的Talos工具,称为LockyDump,允许用户获取一个变体的配置数据,并保留一个句柄,该句柄用于哪个变体。“使用LockyDump,您可以在虚拟化环境中运行一个已知的Locky示例,它将提取并提供该示例的所有配置信息,包括与该示例相关联的AffilID。洛基的最新变种使这个提取过程变得越来越困难。一旦这一配置提取改变了塔洛斯期待逆转更多的洛克样本,试图获得所有重要的阿菲利德信息,”沃伦默克尔和迈克尔莫利耶特在一篇博客文章中说。“获取单个样本的分支机构信息允许对Locky分支机构的历史跟踪,以识别单个分支机构的趋势和其他特征,例如,通过使用漏洞工具包(EKs)或垃圾邮件/网络钓鱼电子邮件等。”作为一个典型的锁程序,研究人员可能会把锁软件作为一个典型的锁程序来使用。Mercer和Molyett说,防ddos攻击能力,这就需要两种不同的方法来分析代码。“作为EXE文件交付的Locky版本需要不同的分析方法,这是通过执行配置为调试的LockyDump的恶意软件来完成的。在检测到真实代码之前,允许恶意软件运行,此时LockyDump将冻结其执行。LockyDump然后定位配置信息并将其打印到stdout中,”他们在GitHub上LockyDump实用程序的文档中说。这个新工具是以开源的形式发布的,Mercer和Molyett说,虽然Locky垃圾邮件在最近几天已经减少,但这种情况可能不会持续下去。“记住这一点,不断发展的Locky迟早会以不同的配置包含方法回来,这可能会阻止这个工具的工作。在这种情况下,我们将致力于发布一个更新版本,它可以继续正常运行并按预期运行。图片来自乔恩塞德曼的Flickr流。