来自 CC防护 2021-12-14 09:12 的文章

ddos防火墙_中国安防_免费试用

ddos防火墙_中国安防_免费试用

一年前的这个秋天,我们为IDA Pro反汇编程序和反编译器推出了VMRay Analyzer IDA插件。在1.0版本的插件(昵称为IDARay)中,淘宝是如何防御ddos,ddos大流量攻击防御,恶意软件分析师和DFIR团队可以使用VMRay Analyzer的输出,用基于行为的数据丰富IDA的静态分析。该插件通过向IDA中动态解析的API调用添加注释,显示解析的函数、参数、返回值和时间戳,加快了对恶意软件威胁的深入分析。内存转储变得更智能和更快今年5月,当我们推出VMRay analyzer3.0时,这个插件的价值得到了提升,智能内存转储。此功能会触发更频繁且与上下文相关的内存转储,服务器硬件防火墙,从而捕获更完整、更准确的恶意软件行为记录,直至精确的函数调用和相应的内存地址。现在,8月份发布的1.1版插件允许分析员立即直接使用智能内存转储进行工作,智能内存转储揭示的恶意软件行为信息远远超过静态分析所能提供的信息。从工作流的角度来看,新的插件版本还简化了深入分析的繁琐方面,如解包、去模糊处理、组织恶意软件文件和运行时工件(如内存转储)。该插件还允许分析员调查VMRay分析档案中监视和记录的其他进程,因此,下载或删除并随后执行的文件也可以在无需进一步努力的情况下进行调查。快速游览为了突出这些最新的功能,我们将通过一位分析师的视角来研究Sodinokibi恶意软件,即勒索软件的王储。分析师已经知道的我们的出发点是对样本的分析报告(图1),在VMRay Analyzer中观察到了这一点。我们可以看到,恶意软件分为特洛伊木马,下载程序和勒索软件。尽管此处未显示,cc策略防御软件,但Overview选项卡显示其许多威胁指标中有三分之二具有较高的严重性评级。单击行为选项卡(A)显示一个进程树(B),显示恶意软件行为的序列。该恶意软件嵌入到Word文档(C)中,该文档会删除并运行可执行负载。另一个进程包括两个进程−4。我们还可以看到一系列链接(E),这些链接指向VMRay Analyzer确定的最"有趣"进程的详细信息。这些过程可能被证明是合法的行为,也可能是造成威胁的原因。图1:VMRay Analyzer关于Sodinokibi恶意软件示例的报告。向下钻取一个级别(图2)会显示与进程4相关的内存转储列表。图2:与进程4相关的智能内存转储在图3和图4中,分析员选择Sodinokibi恶意软件的分析档案,并通过IDA插件将智能内存转储从VMRay Analyzer下载到IDA Pro,以进行进一步的调查。图5显示了这些内存转储的列表;图6显示了进程4的特定转储。图3–选择要下载的Sodinokibi恶意软件的分析档案图4:将分析档案载入IDA图5:为进程4选择内存转储图6:要进一步分析的内存转储的显示由于频繁的变化可能与恶意软件行为有关,一些内存区域被多次转储,如图6所示。在这种情况下,插件将加载最新的转储文件,其中通常包含对分析有用的大多数信息。在图7中,我们看到内存转储已加载到IDA数据库(IDB)中,VMRay插件已对数据库进行了注释,确定了内存中在函数日志中具有相应函数调用的位置。所有这些注释都是可搜索的。图7:IDA显示了动态分配的内存区域(952和1015),其中代码被写入、解密和执行图7中列出的最值得注意的项目是_952和u 1015地区。这些是动态分配的内存区域,恶意软件将代码写入缓冲区,然后在运行时解密并执行代码。正如我们将看到的,这些内存转储提供的恶意软件行为的信息远远多于单独使用静态分析所能看到的信息。当分析人员开始在更深层次上调查恶意软件示例时,图8中突出显示的入口点(由插件标识)提供了一个开始的好地方。图8:region_952突出显示的入口点显示了执行代码的确切地址。图9:搜索词"VMRay"显示了区域_952中进行API调用的许多位置图10:这证实了工序5的注入是由工序4进行的图11:函数日志显示注入是通过调用WriteProcessMemory进行的图12:这是注射发生的确切位置。这个简短的探索说明了IDARay插件的一个工作流优点。它使分析员能够更容易地识别他们可能想要为其编写签名的代码串。以前,这种识别必须手动完成。现在只需点击几下就可以访问这些信息。VMRay客户可以从客户门户下载IDARay插件1.1版。图13:VMRay集成页面关于Francis Montesino实验室负责人弗朗西斯为VMRay带来了超过15年的网络安全经验。在加入VMRay之前,Francis曾在G DATA领导自动化团队,专注于安全实验室的工具和自动化集成。早年,他在TrendMicro的AV实验室工作,专注于恶意软件研究和事件处理。Francis随后在菲律宾的Sunbelt工作,在那里他帮助建立了公司的AV实验室。然后他搬到佛罗里达为GFI(以前的Sunbelt软件)工作,ddos防御系统多少钱,在那里他管理恶意软件的收集、处理和共享过程。