来自 CC防护 2021-12-14 07:18 的文章

cdn防御_高仿包包哪里可以买_无限

cdn防御_高仿包包哪里可以买_无限

2020年10月21日:本威胁焦点中的恶意软件分类已从"Ave_Maria"改为"Warzone RAT"。独特的"Ave_Maria"子字符串的来源可归因于开源TinyNuke恶意软件,免费防御ddos攻击,该软件在一些战区老鼠样本中被重复使用。在TinyNuke中,字符串"AVE_MARIA"在hVNC网络连接的初始化阶段被传输。不幸的是,无数的、易于配置的恶意软件家族产生了无数的恶意软件样本。幸运的是,对于研究人员来说,这些不同的示例共享功能,并且可以通过查找代码中包含的相似性、模式和启发式来识别族。当你知道孩子的父母长什么样的时候,免费ddos防御vps,就很容易弄清楚这个孩子。在这个恶意软件分析的聚光灯下,我们重点介绍了一个打包的Warzone老鼠样本的执行。Warzone RAT是一种远程访问特洛伊木马,ddos防御360,最早于2018年底在Warzone[.]io上发布广告。根据VirusTotal的消息,这个打包的Warzone RAT示例版本于本月首次出现。它通常通过恶意电子邮件活动进行分发,并且能够窃取凭据并绕过用户访问控制(UAC)。在这个示例中,packer是用.Net编写的,它解包Warzone RAT和UAC旁路。查看Warzone RAT的VMRay Analyzer报告执行链分析执行从一个.NET二进制文件(packer)开始,该文件在其资源中携带实际的有效负载。开始时,它确保将自己复制到一个不太明显的位置,即%APPDATA%目录。图1:VMRay Analyzer–加载程序复制自身。加载程序创建一个临时文件并将数据写入其中(图2)。任务调度器提供了使用XML文件定义任务及其触发器的功能,该文件可以作为参数提供给schtasks.exe文件命令行实用程序。在一个进程中使用了一个恶意软件和一个注册器3。图2:VMRay Analyzer–创建临时文件并将数据写入其中。图3:VMRay Analyzer–临时文件的内容。然后,它在挂起状态下创建自己的新进程。编码的有效负载是一个字符串,动态cc怎么防御,它被读入一个数组中,被反转并被base64解码。然后将实际的战区RAT解压到新创建的进程中。更具体地说,注入了两个可执行文件。第一个是RAT有效载荷,注入地址0x400000。然后,UAC旁路(由Checkpoint进一步描述)被注入到地址0x54e000(图4)。在加载程序完成解包后,通过恢复线程将执行传递给注入的stealer有效负载。图4:VMRay Analyzer–注入到新创建的进程中。VMRay Analyzer正在监视所有注入尝试,并提供访问注入数据的可能性。在本例中,注入的已经是未打包的有效负载,这可以节省分析期间的时间。除此之外schtasks.exe文件,一个新的值被写入著名的启动注册表项HKCU\Software\Microsoft\Windows\CurrentVersion\Run(图5)。图5:VMRay Analyzer—通过注册表获得持久性。一些恶意软件作者试图通过在二进制文件中直接引用他们的名字来攻击安全研究人员。Warzone RAT也是如此,它直接引用了安全社区中一位著名的研究人员(图6)。然而,我们可以利用这个优势。这是检测更多恶意样本的一个很好的指标。图6:嵌入注入战区RAT有效载荷中的绳索。在上述的执行链之后,Warzone RAT也配备了窃取功能,它开始获取多个应用程序的凭证(图7)。图7:VMRay分析仪——战区老鼠偷盗能力的检测。结论从上面的分析可以看出,Warzone RAT对于去模糊化来说是一个挑战,ddos防御网,但是使用VMRay分析器可以简化追踪,并增加对样本执行链的理解。Analyzer允许用户更快地提取重要的运行时信息,而无需处理多个混淆层或手动调试示例。IOC公司样品b3fcafa6d8b16ff280ad480b4f8da6775de02d34846e708c073abce41b793505工具书类https://research.checkpoint.com/2020/warzone-在敌后/https://docs.microsoft.com/en-us/windows/win32/taskschd/starting-an-executable-when-a-user-logs-on关于VMRay实验室团队VMRay研究团队提供关于恶意软件分析、事件响应和威胁情报的深入技术内容。