来自 CC防护 2021-12-14 10:13 的文章

DDOS高防服务_高仿鞋在哪买_如何解决

DDOS高防服务_高仿鞋在哪买_如何解决

恶意软件作者定期创建针对特定国家的受害者的活动。最近使用基于位置的恶意软件的例子包括两个向巴西金融机构客户发送银行木马的活动和针对澳大利亚和欧洲用户的Danabot恶意软件活动。这种攻击往往是精心策划的。钓鱼电子邮件和附件的地区语言和参考当地品牌和组织。受害者的位置通常是从他们计算机的IP地址中收集到的。针对特定地理区域的用户/组织有许多原因:最大限度地提高每名受害者的经济利益扰乱一个国家的重要服务以在检测到恶意软件之前延长其寿命。通过只在特定地理位置的系统上执行恶意行为,基于位置的恶意软件可以避开在该国以外的系统上执行分析的基于云的沙箱。为了应对这些地理位置规避技术,防御ddos便宜,我们在VMRay Analyzer中添加了地理匿名功能,以便揭示基于位置的恶意软件的全部行为。在这篇博文中,我们将分析一个来自我们档案的恶意软件样本,它展示了基于位置的行为,并将展示该样本在不同地理位置的不同表现。分析基于位置的恶意软件示例是一个带有高度模糊宏的Word文档。通过对宏进行消隐处理,我们能够理解各种沙盒规避机制和位置检查。示例首先尝试通过检查最近的文件计数来确定它是否在沙盒中运行。这里的假设是,dd攻击cc防御模拟,vps被Cc怎么防御,一个正常的系统将有几个最近使用的文件,但沙盒不会。图1:检查最近的文件计数以确定它是否在沙盒中的示例示例继续使用对合法IP智能工具Maxmind的一系列API调用来收集位置信息。图2:基于其IP地址请求Maxmind的位置信息示例Maxmind返回一个JSON文档,其中包含与IP地址相关联的位置信息。典型的JSON响应如图3所示。图3:Maxmind服务对基于IP地址的位置查询的典型响应该示例将响应与一组字符串进行比较,其中包括证券公司的名称、国家和其他一些关键字。根据响应中是否存在字符串,示例的行为有所不同。图4:示例用于确定行为的字符串图4中列出的字符串之一是""。有了这些信息,高防御ddos,我们可以假设样本在俄罗斯执行时会表现出不同的行为。现在,我们将使用VMRay Analyzer的地理匿名特性来测试这一理论,看看在使用基于俄罗斯的IP时,样本的行为是否会有所不同。介绍VMRay分析器的地理匿名化VMRay Analyzer的地理匿名功能可重定向通过用户提交时指定的国家/地区的互联网流量。用户提交样本时,可以从40多个国家的列表中选择一个退出节点。在本分析中,我们将以两个不同的国家(德国和俄罗斯)作为出口点对样本进行分析。图5:不同出口点的提交分析结果显示,样本在俄罗斯确实表现出不同的行为。在俄罗斯执行时,样本只需在获得位置信息后关闭。当在另一个国家(本例中是德国)执行时,它会继续联系黑名单上的远程服务器并试图下载恶意负载。图6:基于执行国的网络活动:俄罗斯(左)、德国(右)我们通过重新检查deobflusted宏来确认这一点。图7显示了与最近使用的文件计数和位置相关的两个检查。只有当这两个条件都满足时,示例才会继续下载并执行恶意负载。图7:检查最近文件计数和位置的示例函数图8显示了从黑名单URL下载有效负载的代码。图8:从黑名单URL下载恶意负载的示例函数这是一个很好的例子,一个基于位置的恶意软件样本在特定国家表现出不同的行为。在相关国家/地区以外的系统上分析此类基于位置的恶意软件不会揭示它们的全部行为,尤其是当恶意软件内置了位置检查时。VMRay Analyzer的地理匿名功能允许用户通过其选择的国家/地区路由流量,揭示地理目标恶意软件的全部行为。关于Rohan ViegasRohan为VMRay带来了超过12年的产品开发和管理经验。在加入VMRay之前,他曾担任惠普企业(Hewlett-Packard Enterprise)的产品经理,负责管理包括网络管理和安全软件在内的一系列产品。在VMRay,Rohan的职责包括产品路线图规划、项目管理和技术辅助开发。

,cdn防御和ddos硬防