来自 网络 2021-04-05 18:53 的文章

高防御cdn_游戏_防御ddos攻击的盾有哪些

高防御cdn_游戏_防御ddos攻击的盾有哪些

最近,我们来看看Bleeping电脑发现的一个有趣的木马程序。我们对其背景和可能的归因进行了小规模调查,得出结论:这种威胁实际上并不是什么新的威胁——很可能是在2012年被设计用于企业间谍活动。但它从雷达中逃走了,到目前为止还没有被描述出来。关于这项研究的更多信息,以及恶意软件的行为分析,你可以在Shakti特洛伊木马:文档窃贼一文中找到。与第一部分相反,这篇文章将深入探讨所使用的技术。分析样品Bleeping Computer最近提到的示例:b1380af637b4011e674644e0a1a53a64:主可执行文件bc05977b3f543ac1388c821274cbd22e:运营商.dll7d0ebb99055e931e03f7981843fdb540:有效载荷.dllC&C:网络4解决方案.net其他发现样品:8ea35293cbb0712a520c7b89059d5a2a:于2013年提交给VirusTotalC&C:securedesignus.com网站6992370821f8fbeea4a96f7be8015967:于2014年提交给VirusTotalC&C:securedesignuk.comd9181d69c40fc95d7d27448f5ece1878:2015年提交给VirusTotalCnC:web4解决方案.net在主可执行文件中主可执行文件是一个负责解包和部署核心恶意模块的加载程序。通常,恶意软件分销商使用现成的地下加密器来包装和保护他们的机器人。在第一层解包后,我们通常会得到一个完全独立的PE文件。在这种情况下,情况略有不同。主加载程序看起来像是专门为这个特定的bot准备的(而不是商业加密程序)。在参考资料中,我们可以找到XOR使用0x97混淆的内容:此内容在恶意软件执行期间加载和解码。作者试图通过将缓冲区拆分为三个并隐藏在冗余API调用之间来混淆对缓冲区执行的XOR操作:字节^0x97=字节^(0xc7^0xe7^0xb7)对缓冲区进行解码后,ddos防御10g,我们发现这是一个木马的配置文件,其中包含以下字符串:EA20E48B6CBC1134DCC52B9CD23479C7网络4解决方案.net{40f550c2-a844-49e6-ba74-ded0ab840d5b}IGFX射线日月Java更新服务配置的第一个字符串:EA20E48B6CBC1134DCC52B9CD23479C7->md5("赫曼")必须与可执行文件中硬编码的匹配:关于这个可执行文件的另一个奇怪的事实是一个巨大的覆盖。下面您可以看到覆盖的大小(在文件末尾)与主可执行文件的部分所占用的空间大小的对比:我们发现,在这个空间里还有两个(加密的)PE文件。为了对它们进行解码和部署,应用程序将自己的文件读入新分配的内存中。这两个隐藏的模块是:运营商.dll以及有效载荷.dll.流混淆此特洛伊木马程序利用流混淆的某些技术。其中有一个有趣的技巧,高防CDN对接,就是通过DOS头将执行重定向到新模块。具体步骤如下:1) 新的PE文件被解压到新分配的内存块中。它的起始地址被存储。下面我们可以看到主可执行文件正在调用这样的地址。这样,它将执行流重定向到运营商.dll:正如我们在上面看到的,主模块传递给运营商.dll一些附加参数:解密配置的句柄和一个魔力常量(0x0DEFACED),DLL将进一步使用它作为在堆栈上搜索参数的标记。2) DOS标头的字节被解释为代码并执行:3) 执行DOS头会导致调用同一模块的代码段内的函数:在分析的例子中,被调用的函数是reflectionveloader,这是一种著名技术的存根,可以轻松地将任何PE文件映射到内存中(您可以在这里阅读有关此技术的更多信息)。反射加载程序负责执行Windows Loader在以典型方式加载DLL时将执行的所有操作。映射模块后,它调用其入口点:运营商.dllCarrier负责检查环境、安装和部署bot。它导出一个函数:前面提到的reflectionveloader:重要代码的执行从DllMain开始。首先,DLL在堆栈上搜索magic常量,并在其帮助下检索配置的句柄:找到配置的句柄:如果成功检索到句柄(如上面的示例中所示),则继续执行环境检查,并最终部署bot安装:防守技术在执行安装之前,特洛伊木马程序会检查环境,以防被分析。如果发现任何定义的症状,程序将终止。以下是如何进行的:1) 使用标准函数IsDebuggerPresent检查是否未对其进行调试2) 根据黑名单检查正在运行的进程的名称:"VBoxService""电子邮箱""VMware""虚拟PC""wireshark公司"3) 尝试加载库SbieDll.dll(对照沙盒检查)4) 试图从黑名单中找到一个窗口:"SandboxieControlWndClass""Afx:40万:0"如果检查通过并且没有检测到用于分析的工具,则程序将继续安装。安装在决定要使用哪个安装变体之前,应用程序会检查部署它的权限。如果它具有管理员权限,它会尝试将自己作为服务安装。创建的服务的名称在配置中给出(前面提到过)。在本例中,它是Java更新服务。如果这种实现持久性的变体不可能实现,ddos云防御云,则应用程序将使用自动运行键,然后将自身注入浏览器。在浏览器中注入是覆盖上载文件操作的一个好方法。一开始,浏览器连接到互联网并产生流量的过程看起来并不可疑。另外,ddos攻击的检测与防御研究,如果受害者系统使用了可以连接到互联网的应用程序的白名单,那么浏览器被归类为可信的可能性非常高。首先,它检查系统中是否已运行以下任何浏览器:chrome.exe, 火狐.exe, 歌剧.exe.正在枚举进程:在打开的进程中搜索浏览器名称:如果它发现适当的进程正在运行,它会将自己作为一个新线程注入。如果没有浏览器在运行,它会尝试另一种方法:找到默认浏览器,部署它,然后将自己注入其中。为了找出在特定系统中安装的默认浏览器,它会读取注册表项HKEY_CLASSES_ROOT\HTTP\shell\open\command并查找触发的应用程序。有了这些信息,它将找到的浏览器部署为挂起状态,将自己的代码映射到那里,并在远程线程中启动。有效载荷.dll有效载荷是负责携带窃取文件的主要任务。此模块是一个DLL,导出两个函数(其中一个也是ReflectVeloader):从DllMain内部调用的函数Init开始执行。为了防止部署多次,该程序使用硬编码名称CStmtMan的互斥体。机器人攻击所有固定驱动器:它搜索具有以下扩展名的文件:inp、sql、pdf、rtf、txt、xlsx、xls、pptx、ppt、docx、doc找到的文件列表被传递给负责读取它们并发送给C&C的线程。Internet连接是用硬编码的用户代理字符串"Mozilla/4.0(兼容;MSIE 6.0;Windows NT 5.1;SV1)"打开的,该字符串是Internet Explorer 7在Windows XP SP2上使用的,它证实了机器人程序是几年前编写的假设。从配置中读取服务器地址时,子路径/external/update是硬编码的:结论代码不是很复杂,但是它是有效的,可能是由具有恶意软件开发知识的人/团队编写的。我们可以看到简单的混淆和众所周知的注入方法用于合理的目标(在浏览器的掩护下部署网络活动)。在实现中存在一些弱点和缺乏优化(发送未经压缩或加密的开放文本、用户代理字符串与部署的浏览器不匹配等)。未抛光的设计可能表明样品是在开发的早期阶段发布/出售的多年来,机器人并没有得到任何重大改进。由此得出结论,恶意软件的分发者可能与作者不是同一实体。对C&C的分析表明,它是由一个单一的威胁参与者使用的——因此可能性很高,cc防御php,该工具是由参与者从外部程序员处订购的,用于小型间谍活动。此特洛伊木马被Malwarebytes Anti-Malware检测为'特洛伊。沙克提’.这是Hasherezade写的一篇客座文章,他是一位对InfoSec有强烈兴趣的独立研究员和程序员。她喜欢详细了解恶意软件,并与社区分享威胁信息。在Twitter@hasherezade和她的个人博客上查看:https://hshrzd.wordpress.com。