来自 网络 2021-04-06 11:07 的文章

防护cdn_备案_如何处理ddos攻击

防护cdn_备案_如何处理ddos攻击

几天前,我们发表了一篇关于一个新勒索软件的帖子——DMA储物柜。当时,它使用一种非常简单的方法来存储密钥。拥有原始样本就足够恢复文件了。不幸的是,最新版本(2月8日发现)有一些改进和RSA密钥。让我们看看这些变化。在最近的活动中,发现有攻击者通过远程桌面安装了DMA储物柜(LeChiffre勒索软件也使用了类似的分发方法)。[更新]阅读DMA LOCKER:4.0的最新版本更新:版本3.0(2月22日发现)修复了加密实现中的错误。由于这个事实,加密的文件不能被外部工具恢复(尽管在本文中描述的早期版本中是可能的)。抱歉,国内免费ddos防御,但是我们的解密器已经帮不上忙了!预防提示:创建这些文件以保护自己不受此版本的DMA锁定程序的影响。内容无关紧要。在这些文件存在的情况下,程序将通过其他执行路径,只显示红色消息,而不部署加密。C: \文档和设置\所有用户\解密.txtC: \文档和设置\所有用户\开始.txtC: \程序数据\解密.txtC: \程序数据\开始.txt这个技巧只起到预防作用-一旦你的文件被加密了,它就没用了。更多关于为什么会发生的信息,请阅读这篇文章。分析样品28b44669d6e7bc7ede7f5586a938b1cb行为分析同样,我们会收到一个红色窗口的提醒-与之前几乎相同,只添加了储物柜图像:这一次,解密文件所需的密钥不能作为文本提供,而是作为RSA密钥文件提供。关键作者还添加了验证。类似地,它会删除C:\ProgramData\(或C:\Documents and Settings\All Users\)中的文件。现在,被删除的副本被命名为svchosd.exe.并创建注册表项来自动运行文件,并在系统启动时通过记事本自动显示赎金笔记。加密文件同样具有未更改的扩展名-只能通过内容开头的8字节长前缀识别。以前的版本是"ABCXYZ11",现在是"!DMALOCK":实验让我们比较一下加密文件的外观从左边我们可以看到以下文件的原始字节的可视化:原始的,由以前的DMA锁紧器加密的,由当前DMA锁紧器加密的以前的DMA储物柜(中间的图片)是用AES-256ecb模式加密文件,应用于16字节长的输入块。现在(最后一张图片),也存在重复的模式-所以很可能AES-256ECB模式被再次使用。但是,请注意BMP中的条带-在新文件中,它们会移动更多。这意味着报头比以前长。让我们用不同的宽度可视化相同的文件,以确保这种印象是正确的。文件的头在左上角显示为一行,它在垂直行开始处结束。现在它是清晰可见的-头部确实更长。为什么?要回答这个问题,需要进行代码分析,但这可能意味着,局域网内有ddos攻击防御,一些额外的数据存储在那里(它可以是由RSA加密的AES密钥)。内部什么时候开始加密?在执行开始时(与以前的版本一样),恶意软件会终止用于备份的应用程序。此外,还为其持久性添加注册表项。然后,主函数的执行可以遵循3个可选路径。如果系统已经感染->不部署加密,只显示带有勒索通知的红色窗口系统尚未感染,尚未安装恶意软件(当前文件名与预期文件名不同-svchosd.exe)->在ProgramData中安装恶意软件,然后再次部署丢弃的文件系统尚未被感染,但安装了恶意软件->部署加密,个人如何防御ddos攻击,完成后用勒索通知显示红色窗口以系统状态为状态的识别是基于一些预定义文件的存在来执行的。文件的存在解密.txt通知系统已被感染。文件开始.txt通知加密已开始(无需再次启动):知道了这个事实,我们可以很容易地自己删除这些文件,并假装我们的系统被感染了。它将防止这个版本的DMA储物柜攻击我们的系统(它将显示赎金通知,cc防御会拦截蜘蛛,但不接触我们的文件)。加密是如何工作的?这一次,作者决定实践他所宣扬的并真正使用RSA密钥(以前的版本只提供给加密函数一个文本密钥,从原始示例的末尾读取)。与以前的版本不同,所有文件都使用一个AES密钥,这里每个文件都生成一个新的随机密钥。如您所见–在下面的示例中,随机生成的密钥是mrnw9ksc5jrcet4ujvmi2aas7jujpqc6然后,密钥的使用方式与前一个相同,即使用AES ECB模式加密16字节长的数据块。下面—加密前的缓冲区(在十六进制转储中选择输入片段—它是PNG文件的头):同一块加密(字节数->"55 0F 94 4C B0 98 81 DB F4 57 8A 98 92 2C 09 14")使用后,随机AES密钥是RSA加密的:然后,附加到AES加密文件的开头(就在"!DMALOCK"签名):我们可以看到,ddos免费防御,现在AES加密的内容从偏移量0x88开始(将所选部分与上面显示AES加密结果的示例进行比较):什么被攻击?如前所述,受攻击的是逻辑磁盘和网络共享。此示例还介绍了使用QueryDosDeviceA检查软盘和CD(跳过软盘和CD):与上一个版本一样,跳过了一些预定义的文件夹:…和文件扩展名:结论这个恶意软件的作者,尽管看起来缺乏编程经验,但似乎非常决心逐步提高产品质量。第一版、第二版(在前一篇文章中描述)和第三版(当前版本)的质量差距很大。我们将继续关注这个恶意软件家族的演变,并为您提供有关处理此威胁的更新和可能的提示。