来自 网络 2021-12-14 11:17 的文章

香港高防cdn_超强cc防御_3天试用

香港高防cdn_超强cc防御_3天试用

恶意软件系列:漩涡SHA256哈希值:BD61559C7DCAE0EDEF672EA922EAA5CF15496D18CC8C1CBEBEE9533295C2D2EA9查看完整的VMRay Analyzer报告Microsoft Office中的宏被恶意软件作者广泛用作下载和执行系统上恶意负载的机制。微软推出的防御措施(如默认禁用宏)并没有阻止恶意软件作者,ddos攻击检测及防御,因为他们继续设计社会工程技术,说服用户启用宏,从而允许恶意软件执行恶意操作。然而,随着电子邮件网关和其他安全产品包含了针对MS Office文档的VBA筛选策略,恶意软件作者正在使用新技术在Microsoft Office应用程序中传递和执行恶意负载。动态数据交换(DDE)一种技术是使用动态数据交换(DDE)——一种允许Windows应用程序共享数据的协议。在这篇博文中,我们将更深入地了解一个勒索软件示例,它使用DDE直接从MS Word执行应用程序,而不使用任何宏。这种技术允许恶意软件通过宏过滤轻松绕过安全系统或电子邮件网关。Microsoft将DDE定义为允许应用程序共享数据的一组消息和准则。Microsoft文档解释说,应用程序可以使用DDE协议进行一次性数据传输,以便应用程序在新数据可用时互相发送更新。恶意软件作者利用这种技术,因为它允许将外部应用程序指定为DDE数据源。Word将执行这些应用程序来检索信息。添加外部数据源可以通过插入一个字段、手动将其字段代码更改为DDEAUTO并附加应用程序路径和附加参数来完成(图1)图1:使用DDE启动和执行外部应用程序根据Word中的安全设置,每当在Word文档中执行DDE命令时,将显示两个警告之一(图2和图3)。图2:与DDE命令相关的典型警告消息(1/2)图3:与DDE命令相关的典型警告消息(2/2)请注意,虽然第二条警告消息(图3)可能引起怀疑,但恶意软件作者很容易更改消息中可执行文件的实际路径,使其看起来无害。一个勒索软件样本的DDE分析我们分析的勒索软件示例嵌入了DDEAUTO命令。打开文档时,Word会自动执行该命令。它提供可执行文件的完整路径以及需要传递的参数。在本例中,示例将执行mshta.exe使用外部URL,微信ddos防御算法,如图4所示。图4:Word文档中启动可执行文件的DDEAUTO命令mshta可执行文件的路径是以这种方式指定的,因为它诱使Word认为MSword.exe是如图5所示的目标应用程序。图5:Word文档思维MSword.exe是目标应用程序HTA文件包含执行命令行.exe然后继续执行PowerShell。然后PowerShell下载并执行nvss.exe文件里面有勒索软件。勒索软件示例行为勒索软件执行的第一个操作是与C&C服务器建立连接,并共享受害者的IP地址和其他信息。这在VMRay Analyzer分析报告的行为部分中突出显示(图6)图6:VMRay分析报告:勒索软件与C&C服务器共享用户信息,包括IP地址对C&C服务器的第二个请求返回保存在.bat文件中的数据,该文件随后由恶意软件执行(图7和图8)。图7:VMRay Analyzer日志文件和报告:C&C服务器返回由恶意软件执行的.bat文件图8:ransomware示例执行.bat文件下一个操作是从C&C服务器下载加密密钥(图9)。此密钥随后将用于加密用户系统上所有文件的加密例程中。该示例读取系统上的每个文件,创建一个新文件(以.aes结尾),写入文件的加密版本,最后删除原始文件(图10)。图9:VMRay Analyzer报告:从C&C服务器下载的加密密钥图10:VMRay Analyzer报告:勒索软件示例执行的文件加密最后,勒索软件示例在用户系统的每个目录中创建一个"如何恢复文件"文本文件(图11)。图11:勒索软件创建的"如何恢复数据"文本文件VMRay分析仪结果虽然AV厂商在检测这项新技术方面进展缓慢(图12),但VMRay基于无代理管理程序的动态分析引擎对文件100/100进行了评分,其严重性标签为"恶意"。检测到几个恶意行为模式(图13),并且样本的详细行为(包括网络活动)也记录在报告的行为部分。图12:AV引擎检测恶意软件作者使用的DDE技术的速度很慢图13:DDE勒索软件样本的高级VMRay分析结果需要注意的一点是,Sensepost早在2017年8月就向微软报告了该漏洞。微软回应称不会采取进一步的行动,并且会考虑下一个版本的候选bug。查看DDE勒索软件的完整VMRay Analyzer报告关于Felix SeeleFelix Seele是VMRay的技术负责人,DDOS防御需要宽带吗,负责VMRay动态分析引擎。他拥有德国波鸿鲁尔大学IT安全硕士学位。在加入VMRay之前,Felix在Hewlett-packardenterprise工作,高防cdn联系qq,这激发了他对网络安全的兴趣。在业余时间,日本高防cdn,菲利克斯喜欢烹饪辛辣食物、音乐和摄影。