来自 网络 2021-05-03 03:04 的文章

免备案高防cdn_如何防护cc_零元试用

VBScript机器人分析导语:在我们每天看到的一长串复杂威胁中,有趣的是,恶意软件相当简单,但就其所携带的有效载荷而言却是有效的。在Zscaler ThreatLabZ,负载均衡防御ddos,我们最近遇到了一个看起来很无辜的机器人,它的目标是我们的客户。该文件作为垃圾邮件的附件到达。恶意软件是用VBScript编写的。分析:病毒扫描结果显示,50家供应商中有14家检测到恶意软件。图1:病毒总数结果下图显示记事本中打开的恶意软件。我们可以看到文件被混淆了。这是因为文件的扩展名是".vbe"(.vbe"是一个编码的VBscript文件),法国高防CDN,否则它的扩展名是".vbs"。提供编码支持是为了防止人们阅读脚本。图2:混淆的VBScript要持久化,恶意软件将自己复制到Windows中的startup文件夹中(图3)图3:恶意软件创建的startup folder注册表项中的恶意软件副本,以便在系统启动时自动运行。(图4)图4:WindowsRegistry(RunEntry)它还将自己的副本添加到Windows临时文件夹(图5)。图5:temp文件夹中恶意软件的副本下一步,恶意软件试图建立到它的服务器的连接(这里wscript.exe是执行VBScript的脚本引擎)。图6:网络通信提取更多信息,我们需要解码文件,并以可读形式获取原始恶意软件代码。让我们看看解码文件。图7:恶意软件安装代码上图显示了负责在注册表中添加条目的代码,该条目允许恶意软件在每次系统启动时执行,高防cdn测试网站,也可以在startup,temporary文件夹中创建自己的副本。这个恶意软件的另一个有趣的部分是它能够通过网络进行通信。恶意软件实际上可以接收一组命令,asa防御ddos攻击,并在受感染的机器中执行这些命令。分析时,恶意软件与之通信的服务器似乎关闭了。因此,为了完全理解恶意软件是如何通信的,也为了演示这个Bot的有效性和破坏性,我决定创建一个HTTP服务器并直接向Bot发出命令。我们可以从下面的代码中看到,这个机器人可以执行的各种命令。这些命令很简单,反射ddos攻击防御,而且是不言自明的。"execute"命令能够在受感染的计算机中执行其他VBScript语句。发出"update"命令更新Bot,而"uninstall"从Windows注册表和启动文件夹中删除Bot条目。还有"send"、"recv"和"site send"等命令。有趣的命令包括"enum driver"、"enum faf"、"enum process"、"cmd shell"、"delete"、"exitprocesss"。让我们执行服务器,等待Bot连接到我们并发送信息,这样我们就可以发出命令了。图9:恶意软件回调如上图所示,发出一个"POST"请求,其路径为"/is ready",表示Bot已启动并准备就绪。我们还可以观察到有关受感染计算机的信息,如"卷序列号"、"计算机名"、"用户名"、"操作系统类型"、安装的"防病毒名称"等。为了检索这些信息,恶意软件依赖于Windows Management Instrumentation(WMI)查询。让我们发出命令"enum driver"。此命令获取受感染机器的驱动器名称和驱动器类型,如下图所示。图10:enum drive下一个命令"enum faf"枚举并获取受感染机器的输入目录或驱动器的内容。图11:enum files"enum process"命令获取在受感染系统上运行的进程的列表。图12:枚举进程"cmd shell"命令将允许攻击者在受感染的系统上执行所有DOS命令。图13:executedos命令这些只是恶意软件可以在受感染系统中执行的一些强大命令。这就给了恶意软件近乎无限的能力来控制和窃取被感染机器的数据。机器人和它的所有通讯都被Zscaler阻断了。   Zscaler_媒体_中心2_博客_发布_1-R1