来自 CC防护 2022-05-19 00:00 的文章

高防ip_防御ddos流量攻击_无缝切换

高防ip_防御ddos流量攻击_无缝切换

Win32/64:Blackbeard&鸽子:64位Windows中的隐身技术,第1部分

在今年年初,我们开始观察一个特洛伊木马,之前讨论不多(有一个全新的最终负载)。它有许多有趣的方面:它拥有一个包含32位和64位代码的复杂结构;它通过高度侵入性的方法实现其持久性;而且它足够强大,可以容纳各种有效载荷/功能。

第一次面对这种威胁,ddos攻击防御事件,我们想知道它的分类。使用AVAST的恶意软件相似性搜索,我们在恶意软件数据库中发现了一个旧样本(时间戳为"02/20/12@3:30:55am UTC"),该数据库共享威胁的PE头结构。此外,它还包含带有字符串"Blackbeard"的调试信息,因此我们决定这样称呼它。

代码的开发随着时间的推移而发展。我们可以将该特洛伊木马感染链的一部分与名为Win32/64:Viknok的威胁相连接。对于黑胡子的历史和当前变体,结构的复杂性在该方案中略述:

严格意义上,黑胡子这个名字与下载程序(32位和64位)有关。它能够将代码流重定向到32位和64位有效负载(在方案中表示为模块)。众所周知,网络犯罪分子以他们通常拥有一个机器人生成器的方式分发他们的恶意软件,该生成器填充特定的分发将值(C&C域、加密密钥等)放入存根中,然后使用多态自定义打包器覆盖存根,以避免AV检测。此下载程序具有一项功能,可以为两种架构打包打包。

有些下载程序设置为将Viknok作为模块下载,有些下载程序设置为具有以下调试信息的模块:

我们在2013年11月的博客中写道,Viknok特洛伊木马是通过Nuclear Pack漏洞工具包分发的。上个月,它的表现似乎已经消失了(考虑到相关检测的计数,ddos防御工具下载,与指定的域模式的连接,以及因特网上的引用)。然而,我们不认为包含字符串"鸽子"的有效载荷是Viknok的新版本,因为字符串不同(例如,AV进程列表和特别感兴趣的网站列表完全缺失)。此外,浏览器名称列表也扩展了。)但"鸽子"并不是通过核组件分发的。我们有很多线索表明最初的感染媒介与Java攻击有关,但我们还没有发现它的确切形式。对于这种威胁的传播者来说,受害者的位置非常重要,如下图所示。因此,可能已经相应地选择了感染载体。

执行系统感染的事件链如下所示。下载器被一个定制的打包器(到目前为止,防御ddos系统,我们只观察到32位)多态性地覆盖,该打包器将下载器加载到内存中。流在未打包层的入口点结束。根据架构的不同,入口点的代码可以解析为32位和64位:

在我们的情况下(32位定制打包机),增加带宽ddos防御,我们总是到达32位分支。但是,如果它不在x86平台上运行,它仍然可以切换到64位有效负载。这是通过一个有趣的技巧实现的,我们将在本博客文章的第二部分中描述。

当架构最终确定时,下载程序执行其主要目的-它从硬编码站点下载有效负载。查询看起来像

其中id是调用查询的下载程序的标识符,p可以有2个值(分别为1)。2个请求x86 resp。x64模块的变体。)

下载的内容用随机生成的名称加密并存储在Windows%SYSTEM32目录中,例如bqpb.ozz。没有用户可以访问该文件,只有系统:

在系统的rpcss.dll中安全解决特洛伊木马后,才会执行对文件rpcss.dll的注入,ddos有专门的防御设备,该文件负责持久性(以及其备份版本存储在/dllcache for XP version中),强制重启之后。

注入是在系统启动时执行的,其任务是解密隐藏的下载文件(在我们的例子中是bqpb.ozz)并将代码流传输给它:

事件链仍然没有结束。执行多个线程;其中一个负责下载另一个数据。在%SYSTEM32目录中创建了几个随机名称的文件。综上所述,情况可能是这样:

那么功能是什么?作者自己在调试信息中建议:

clickbot通常表示一种特洛伊木马,它模拟在线广告网站上的点击,以产生每次点击收费的奖励。下面突出显示了C&C域列表,重复模式为"/task/2000"。臭名昭著的clickbot是Win32/64:Sirefefef(也称为ZeroAccess),它代表了近年来最复杂的特洛伊木马之一。

根据Win32:Blackbeard和AVAST的文件和网络屏蔽的相关域的点击量估算的分布令人惊讶地仅位于美国。该链初始阶段(驱动下载内容)面临的独特机器数量约为每天约500-600台,而连接到Clickbot的C&C的已感染机器数量约为每天约700-800台。

该程序与(大部分)勒索软件感染的情况类似,并不简单,不幸的是。要手动停用感染,需要替换修补文件rpcss.dll的所有实例(取决于Windows版本)。为此,需要从外部媒体引导系统。

我们正在准备对该恶意程序的有趣方面进行技术分析。如果您感兴趣,请继续关注。