来自 网络 2021-04-05 05:08 的文章

防止cc_公司_怎样防止cc攻击

防止cc_公司_怎样防止cc攻击

Hasherezade和Jérôme Segura合著。在这篇博文中,我们将介绍一个最新版本的多功能中微子机器人(又名kaside),讽刺的是,它是由一个同名的漏洞工具包发布的。今年1月早些时候,我们曾描述过通过垃圾邮件发布的中微子机器人,百度云ddos防御,因此我们不再赘述这些细节,而是将重点放在一个有趣的加载程序上。反虚拟机检测由多层隐藏的实际核心补充,这使得最终有效载荷的提取有点困难。分配方法这个样本是通过美国一个利用中微子探索工具的恶意活动收集的。感染流程从虚拟化、网络流量捕获和防病毒软件的指纹检查开始。如果发现任何人(即不是真正的受害者),就不会发生感染。这项检查是通过预登录页面中严重混淆的JavaScript代码来完成的,而不是像过去那样在Flash漏洞本身中进行的。一旦初始检查通过,下一步就是启动一个精心编制的Flash文件,其中包含一系列针对internetexplorer和flashplayer的漏洞攻击(类似于这里所描述的)。最后一步是通过wscript.exe绕过代理。整体感染流程如下图所示(点击放大):来自maciejkotowicz的脚本被用来从Flash文件中提取工件。分析样品b2be7836cd3edf838ca9c409ab92b36d–原始样品(由EK提供)349f5eb7c421ed49f9a260d17d4205d3–装载机6239963eeda5df72995ad83dd4dedb18–有效载荷(中微子机器人)行为分析样品得到了很好的保护,不会被部署在受控环境中。当它检测到它正在VM/沙盒中运行时,它只会删除自己:如果环境通过检查,它会将其副本放入:%APPDATA%/Y1ViUVZZXQxx/.exe(在测试期间,我们观察到以下名称:abgrcnq.exe文件, uu.exe文件):文件夹和示例被隐藏。通过任务调度器实现持久性:该恶意软件添加和修改多个注册表项。它添加了一些基本设置,包括安装日期:它会修改一些键,以便在系统中保持隐藏状态。隐藏/超隐藏功能允许其删除的副本不被用户注意到。它通过修改以下注册表项禁用查看此类文件:软件\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Hidden软件\Microsoft\Windows\CurrentVersion\Explorer\Advanced\ShowSuperHidden它还使用以下命令将自己添加到防火墙的白名单中:命令行.exe"/a/c netsh advfirewall firewall add ruledir=in action=allow program=[完整的可执行文件路径]同样,恶意软件的路径也会添加到Windows Defender的排除项中:它禁止向Microsoft云服务(SpyNet)报告事件:HKLM\SOFTWARE\Microsoft\Windows Defender\SpyNet\SpyNetReporting它修改终端服务的设置,将MaxDisconnectionTime和MaxIdleTime设置为0。修改的密钥:HKLM\SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services\MaxDisconnectionTimeHKLM\SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services\MaxIdleTime如果整个安装过程成功,它最终会加载恶意内核,我们可以看到中微子机器人的典型流量。你可以看到下面的信标"enter"和响应"success",h3c防火墙如何防御ddos,编码为base64。在检索到的空白html页面中,ddos防御系统部署,响应将作为注释发送,以避免引起注意:在下一个请求中,机器人发送有关自身的信息,作为响应,CnC给它发出执行命令。请求和响应也是base64编码的。解码后示例:要求:cmd&9bc67713-9390-4bcd-9811-36457b704c9c&TESTMACHINE&Windows%207%20(32位)&0&N%2FA&5.2&22.02.2017&NONE责任:1463020066516169截图146910096882000杀人犯1481642022438251费率15#第一个命令是截图,实际上,在我们看到机器人发送JPG格式的屏幕截图后不久:从发送的版本号中我们可以得出结论,bot的版本是5.2(与此活动类似)。内部第一层是一个加密器的存根,它用加载程序的映像覆盖内存中的初始PE。本视频演示了如何打开包装:https://www.youtube.com/watch?v=m_xh33M_CRo。第二层是一个加载程序,ddos防御什么意思,它阻止在受控环境(即在VM或调试器下)中运行核心bot。这个元素可能是新的(在Neturino Bot之前的活动中,我们还没有观察到这个元素,即这里描述的)。我们发现装载机在保护任务中非常有效。测试期间使用的大多数沙盒和测试vm都未能提供任何有用的结果。最后的有效载荷具有中微子机器人家族的典型特征。加载程序代码显示,它是完整的中微子机器人程序包的一个组成部分,而不是由独立的加密程序添加的另一层。有效载荷和加载器都是用C++编写的,使用类似的函数,并包含重叠字符串。本文后面将详细演示它。它们都有非常接近的编译时间戳:payload:2017-02-16 17:15:43,loader:2017-02-16 17:15:52。可以在此处查看加载程序的修补版本,禁用环境检查。装载机模糊处理技术里面的代码包含某种程度的混淆。可以看到一些字符串:目录名一些函数与要禁用的Windows安全功能相关的注册表项用于添加计划的新任务字符串。然而,这并不是全部。大多数字符串在运行时解密。下面是加载加密字符串的示例:模糊处理后的字符串被动态加载到第一个内存中。然后,使用简单的基于异或的算法对其进行解密:def解码(数据):maxlen=len(数据)解码=bytearray()对于范围内的i(0,maxlen):dec=数据[i]^1解码.append(十二月)返回解码解密后的同一字符串:大多数API调用也是动态解析的。例子:跟踪API调用有助于理解程序的功能。出于这个原因,ddos防御工具,这个恶意软件文件的作者在根本不使用API调用的情况下实现了一些函数。在下面的示例中,您可以看到通过读取低级结构:线程环境块(TEB)实现的函数GetLastError():功能为了防止被多次执行,加载程序创建了一个互斥体,其名称被硬编码在二进制文件中:1ViUVZZXQxx。加载程序的主要任务是检查环境,以确保不会监视执行。但是,与大多数恶意软件不同的是,检查并不是只做一次。部署了一个专用线程:它在一个永不结束的循环中运行检查:如果在任何时候,加载器检测到正在部署某个黑名单进程,则终止执行。执行的检查示例:1枚举正在运行的进程的列表(使用动态加载的函数CreateToolhelp32Snapshot–Process32First–Process32Next)。根据每个检索到的进程名计算校验和,并将其与内置黑名单进行比较:黑名单上的校验和:.gist表{margin bottom:0;}0x6169078A0x470003430xC608982D0x46EE4F100xF6EC4B300xB1CBC652;vboxservice.exe0x6D3E6FDD;vboxtray.exe0x583EB7E80xC03EAA65型查看原始过程_黑名单.txt由GitHub托管函数搜索黑名单进程的实现——如我们所见,每个函数都是在相应的校验和的帮助下动态加载的:2在当前进程中搜索黑名单的模块(使用动态加载的函数CreateToolhelp32Snapshot–Module32First–Module32Next)。类似地,它根据每个检索到的进程名计算校验和,并将其与内置的黑名单进行比较。校验和计算算法(实现):黑名单上的校验和:.gist表{margin bottom:0;}0x1C669D6A0xC2F56A18型0xC106E17B型0x5608BC40x6512F9D00xC604D52A;snxhk.dll0x4D0651A50xAC12B9FB;sbiedll.dll0x5B7475610x53309C850xE53ED522型查看原始模块_黑名单.txt由GitHub托管3,检查进程是否在调试器下,使用:IsDebuggerPresent,CheckRemoteDebuggerPresent4使用GetTickCount–Sleep–GetTickCount通过时间测量检测单步执行5通过检测黑名单设备进行反虚拟机检查–使用QueryDosDevices,即VBoxGuest6按类搜索和隐藏黑名单窗口-使用EnumWindows-GetClassName(即procexpl)黑名单上的校验和:.gist表{margin bottom:0;}0xFE9EA0D5BB660×920x3C5FF312;procexpl0x9B5A88D9;procmon_window_类0x4B4576B50xAED304FC0x225FD98F0x6D3FA1CA0xCF388E010xD486D9510x3917型