来自 防护 2021-12-14 13:03 的文章

免备案高防cdn_ddos攻击怎么防御_零元试用

免备案高防cdn_ddos攻击怎么防御_零元试用

逃避检测的恶意软件并不是什么新鲜事。但是,在不断演变的威胁环境中,特别是在目标攻击周围,我们现在看到了更多对环境敏感的恶意软件,这又称为上下文感知恶意软件或环境感知恶意软件。不是一个低碳足迹的品种,临时高防cdn,而是一个恶意软件,是专门为运行在特定条件下的计算环境的预期目标。对环境敏感的恶意软件也很容易避免,因为在沙盒环境中分析时,它可能不会执行,尽管这通常是一种副作用,而不是通过设计。即使使用VMRay这样无法检测的沙盒,如果不满足预期的环境条件,它也可能无法显示其真实行为。我们在这里,这里和这里都有关于这个主题的帖子。环境敏感型恶意软件的典型例子是Conficker蠕虫,它拒绝感染乌克兰的机器。正确分析和可靠检测环境敏感恶意软件的一种方法是让沙盒用户使用自己的自定义图像进行分析。VMRay独立于客户机配置工作,允许使用gold映像和完全定制的VM映像。然而,在某些情况下,分析环境的完全定制只会在分析环境敏感恶意软件时有所帮助。一个例子是需要分析不针对您的网络的目标攻击,例如,cc策略防御软件,当为第三方提供威胁情报或分析大规模威胁数据以生成特征码/IOC或进行研究时。在这些情况下,即使是高级沙盒也可能识别出恶意软件正在查询环境设置,但可能无法识别休眠功能,因此将提供不完整的分析结果。介绍VMRay倒带VMRay已经检测到此类环境检查,并且可以将此类文件识别为可疑文件,即使在执行期间未触发恶意负载。但还不止这些。我们正在实现一个强大的功能,称为VMRay倒带,它不仅可以可靠地检测环境敏感恶意软件,而且可以自动确定必要的环境设置,并相应地修改底层分析环境。然后,在修改后的环境中再次分析恶意软件,并揭示隐藏的功能。我们在上一篇关于利用英特尔处理器跟踪功能的文章中概述了这一点,并且从那以后我们已经取得了很大的进展。在下面,我们将进一步详细介绍倒带的功能。我们认为当您继续阅读示例并看到这项非常有用的即将到来的技术的屏幕截图时,您会感到兴奋的。为了检测对环境敏感的恶意软件以及隐藏的功能,我们将Intel新的处理器跟踪功能与强大的分析技术和复杂的启发式算法结合起来:我们利用处理器跟踪信息来确定被监视进程的内存转储中的代码覆盖率,即确定在分析期间未执行的所有代码位置。从这些未迁移的代码位置,我们识别"有趣"功能的子集,例如,通过丢弃错误处理例程。然后,我们跟踪执行流,台湾高防cdn,从这些"有趣的"未执行代码位置到依赖于环境设置的先前条件分支,例如,获取当前时间或键盘布局的函数。然后应用符号执行来识别导致隐藏功能的路径(条件)。在这些路径上,ddos攻击的防御手段有哪些,我们使用解算器生成具体的值来触发它们的执行。最后,我们重新分析了这个示例,并确保所有的环境查询都得到了达到隐藏功能所需的值。注意所有(!)步骤完全自主执行。无需用户交互即可:a) 识别隐藏的功能b) 确定所需的环境条件c) 在修改后的环境中重新运行分析,包括所需的条件环境敏感恶意软件的自动分析让我们看一个只有在特定时间段内执行恶意功能的恶意软件文件。初始分析之后,VMRay Analyzer会自动将收集到的跟踪信息与创建的内存转储相结合。请注意,转储不仅包括进程映像(通常类似于二进制可执行文件的未打包表示),还包括所有堆和堆栈内存。为了更好地说明问题,我们应用了一个脚本,该脚本根据收集的跟踪数据自动污染IDA反汇编程序的输出。图1显示了这个受污染的IDA视图。您可以很容易地看到:恶意软件通过调用GetSystemTime()API检索当前日期和时间。然后将当前月份与0x0B(11月)和当前年份与0x7da(2010)进行比较。由于未达到预期日期,网吧ddos防御,恶意软件随后通过调用exitprocesss()API立即终止。图1:污染的IDA视图在污染之后,我们开始真正的工作:最初,我们的算法识别从loc_40915C开始的代码序列,因为在运行过程中它还没有到达。然后,它将追溯并标识可能导致此代码执行的两个条件分支。它还将API GetSystemTime标识为所检查的分支条件的数据源。最后,确定SYSTEMTIME结构中的月份和年份字段是重要的路径条件变量。有两种不同的执行路径导致隐藏功能,对于这两种情况,我们的算法确定了特定的路径条件:案例1:地址为0x75c0d354的GetSystemTime路径在0x40915C处达到有趣的代码序列所需条件:系统时间.wMonth0xa型图2:案例1:依赖于系统时间的第一个执行路径案例2:地址为0x75c0d354的GetSystemTime路径在0x40915C处达到有趣的代码序列所需条件:系统时间.wMonth0xb型系统时间.wYear0x7d9型图3:案例2:第二个执行路径有了这些信息,VMRay Analyzer将在针对每个已识别路径条件调整的环境中重新运行样本。如图4所示,这将提供更全面的分析结果,并在由VTI(VMRay威胁标识符)引擎计算的总严重性得分中反映出更多的恶意行为:图4:VTI严重程度评分 间接呼叫/跳转目标的自动识别倒带的一个好的副作用是它能够自动识别间接跳跃的目标,并用这些信息丰富反汇编。这听起来可能很模糊,只对VMRay输出的静态后处理感兴趣。然而,对于数字取证和相关APT的深入分析来说,这是一个巨大的节省时间的方法。如图5中"loc峎b21be6"所示,有一条"call ecx"指令。仅仅是静态分析,这是相当耗时、复杂的,而且往往不可能确定具体的ecx值,需要揭示实际的呼叫目标。但是,通过掌握处理器跟踪数据,VMRay很容易确定目标。图5显示了生成的反汇编注释:有两个调用目标,每个循环迭代一个:sub_B22164和sub_B24339。图5:生成的反汇编注释摘要倒带是一种很棒的方法,不仅可以检测目标攻击中经常使用的环境敏感恶意软件,还可以通过以完全自动化的方式触发隐藏功能来全面分析它们。由于新的强大的处理器跟踪功能,这一点在性能影响最小的情况下完成。基于Hypervisor的恶意软件分析将在未来几年受益于许多其他新的虚拟化扩展,这些扩展将由CPU供应商开发,以加速云计算。倒带使我们不仅可以识别被监视的恶意软件进程与系统之间的所有交互,还可以在需要时在指令级别检查执行的代码。虽然在实践中这通常是不必要的,甚至可能是恼人的(即,因为它产生大量不必要的数据),我们现在可以选择在某些场景中使用它。与仿真相比,可以在几乎不影响性能的情况下实现这一点。令人惊叹的!关于Carsten WillemsCarsten博士是CWSandbox的最初开发者,CWSandbox是第一个商业恶意软件沙箱系统之一,后来改名为GFI sandbox和Threat Analyzer。他是创建动态恶意软件分析和检测企业软件的先驱,也是这一领域全球领先的专家之一。他于2013年在波鸿鲁尔大学获得计算机科学/信息技术安全博士学位,如今在恶意软件研究和软件设计方面拥有超过20年的经验。卡斯滕创立了几家公司,指导过许多网络安全初创公司,并定期出席学术和行业会议。他与联合创始人兼CTO Ralf Hund一起开发了独特的基于虚拟机监控程序的威胁检测技术,这是VMRay Analyzer的基础。