来自 CC防护 2022-05-14 08:10 的文章

ddos防火墙_ddos清洗器_优惠券

ddos防火墙_ddos清洗器_优惠券

锁屏Win32:Lyposit显示为假冒MacOs应用程序

当臭名昭著的Carberp Banking特洛伊木马的主谋黑客被捕时,防御cc脚本,我们认为故事已经结束。但我们在逮捕一个月后的5月7日收到的样本看起来非常可疑。它连接到一个众所周知的URL模式,实际上是Carberp特洛伊木马。此外,ddos基础防御怎样开通,它所连接的域名已于4月9日注册!

仔细查看PE标题,可以发现时间戳(美国东部时间02/27/13@12:19:29pm)显示的日期比逮捕网络罪犯的日期稍早,URL是大型僵尸网络的一部分,其中涉及大量俄罗斯机器人。因此,该案例在分发过程中以丢失样本的形式结束。

在使用我们的内部恶意软件相似性搜索尽可能多地捕获恶意软件样本后,出现了一个集群。它包含一些著名的家族,如Zbot、Dofoil、Gamarue,以及一些新家族,cdn防御和ddos硬防,如Win32/64:Viknok和Win32:Lyposit。后者是一个动态链接库,一个非常复杂的加载程序和一个最终负载引起了我们的注意。

加载程序分析

起始滴管是一个Microsoft Visual Basic可执行文件,它解包并加载第一个隐藏层-另一个x86 PE可执行文件。这一层对新分配的内存中的数据进行解密,服务器虚拟ip防御ddos,然后在那里执行下一步。通过哈希动态解析WINAPI函数并使用多个协作线程,分析变得更加困难。主解密通过重复调用Microsoft基本加密提供程序v1.0提供的RC2密码算法来完成。下一层是动态链接库,它会删除锁屏的正确二进制。

有效负载

锁屏尝试通过后台智能传输服务(BITS)与其服务器通信。它使用后台作业创建一个BITS控制类,该作业将文件下载到客户端(IBackgroundCopyManager的参数BG_job_TYPE_DOWNLOAD:CreateJob方法)。据报道,过去的恶意软件曾被用来绕过防火墙规则以执行其他操作。

URL名称编码在二进制文件的数据部分,乍一看它们似乎不标准:

向C&C服务器查询的示例:

等号前的字符串是随机生成的,长度在1到5之间相等后的数字序列包含受害者位置和计算机名的压缩信息。下图显示了解密后的前一个请求背后的内容(第一个双字是GetTickCount()调用的返回,后面是常量字节0x18和调用请求的过程的内部代码;然后我们看到一个神奇的字符串"RLA5",一个本地标识符的值,DigitalProductId的散列与InstallDate的值异或,最后是计算机名的散列)。

显示此缓冲区的反向算法如下:

对通信协议进行加密,并使用以下解密算法:

对接收到的缓冲区应用decryptBITS算法两次最终显示完整的HTML页面。

根据受害者计算机的位置设置,ddos防御盾,在服务器端选择赎金信息的特定内容。如果不是瑞士、意大利、西班牙、德国、俄罗斯、乌克兰或其他可能的非美国国家,则可能是这样:

请注意背景图片(顺便说一句,在档案中称为"US.jpg")和命令输出的字体样式绝对不是Microsoft Windows命令行。此外,突出显示的字符串"MacOs vers"低语着该平台的伪装。但我们没有被欺骗;这不是Mac OS系统的另一个威胁。我们只能推测恶意软件作者选择这种奇怪的屏蔽的原因。我想到的一个事实是,MacOSX在北美拥有更大的市场份额,用户更习惯于这种风格。谁知道…

坚持锁屏在每次启动后使用两种方法确保其执行。第一种方法相当常规,其思想是在注册表中以正确的设置静默地注册恶意库:

第二种方法更非常规。该恶意软件将自身注册为命令处理器的扩展。这意味着每次运行cmd.exe后,恶意软件将成为一个常见组件:

手动删除Win32:Lyposit

1.使用live CD引导计算机

2.查找上面提到的用于保持锁屏的注册表项。

3.查找并删除这些注册表项中的引用文件。

4.以正常方式重新启动计算机模式