来自 DDOS 2021-04-04 14:11 的文章

服务器被打死_无限防_手机游戏防护

服务器被打死_无限防_手机游戏防护

在恶意软件作者中,将合法的应用程序合并到他们的恶意软件包中的趋势正在增长。这一次,我们分析了一个下载合法ffmpeg的恶意软件。使用这个应用程序,这个用.NET编写的简单间谍软件具有强大的功能。大多数恶意软件只需发送屏幕截图就足够了,怎么防御网站cc,高防cdn10元,这些截图是在受感染的机器上定期生成的。这个恶意软件更进一步,记录完整的视频,监视用户活动。在这篇文章中,我们将看看这个例子以及这个样本所拥有的其他威胁。上述恶意软件家族最早于2015年由MalwarHunterTeam发现。最近一股新浪潮正在蔓延。分析样品2a07346045558f49cad9da0d249963f1–滴管(JS)049af19db6ddd998ac94be3147050217–删除的可执行文件(C#)9c9f9b127becf7667df4ff9726420ccb–装载机85d35dd33f898a1f03ffb3b2ec111132–最终有效载荷下载的插件:e907ebeda7d6fd7f0017a6fb048c4d23–远程桌面.dlld628d2a9726b777961f2d1346f988767–进程管理器.dll行为分析JS文件将包含的可执行文件放入%TEMP%文件夹中,然后运行它。可执行文件以随机名称安装自己,在%APPDATA%中创建自己的文件夹。持久性是通过runkey实现的。其他启动的恶意软件也会被丢弃在文件夹中:在运行期间,ddos防御防护设备,可执行文件在其安装文件夹中创建.tmp文件。文件内容未加密,如果我们查看内部,我们可以注意到它正在保存击键并记录正在运行的应用程序:另一件有趣的事情是,恶意软件下载合法的应用程序:Rar.exe文件, ffmpeg.exe以及相关DLL:DShowNet.dll, DirectX.Capture.dll观察到该恶意软件在运行时关闭并删除了一些应用程序。在测试期间,它从被攻击的机器上移除了ProcessExplorer和baretail。网络通信恶意软件通过TCP使用端口98与CnC服务器通信。服务器向客户机发送一个命令"idjamel",客户机用收集到的关于受害机器的基本信息进行响应,例如machinename/username、安装的操作系统和正在运行的进程的列表。信标完成后,服务器向客户端发送配置,即目标银行的列表。Bot将配置保存在注册表中:之后,CnC发送一组Base64编码的PE文件。每个文件的内容前面都有其名称。非恶意helper二进制文件可以通过关键字"djamelreference"标识。恶意插件由"djamelplugin"标识。正在下载DShowNET.dll:下载插件-远程桌面.dll(e907ebeda7d6fd7f0017a6fb048c4d23):ffmpeg应用程序从URL(由CnC指向)下载:在地址后面我们可以看到一些可能被攻击者拥有的假页面。类似Facebook的按钮指向帐户"AnonymousBr4zil":bot向服务器报告正在运行的应用程序,即从Base64编码的标题栏发送文本:例子:awt | | UHJVY2VZCYBFEBSB3JLCIATIFN5C2LUDGVYBMSCZOD3D3LN5C2LUDGVYBMFSCY5JB20GW3RLC3RTYWNOAW5LXHRLC3RLCL0=djamel解码:Process Explorer-系统内部构件:网站[测试机器\测试人员]内部拆箱在CloudProtector的帮助下打包了这个示例–(感谢@MalwareHunterTeam的提示)。它与我们之前分析过的其他情况下使用的保护器相同(请参阅此处)。与前面的例子一样,它使用自定义算法和配置中提供的密钥解密有效负载。然后,在RunPE技术(也称为ProcessHollowing)的帮助下,将解密的可执行文件加载到内存中。核心未打包的有效负载是包含所有恶意功能的层。它没有进一步混淆,所以我们可以很容易地反编译它(即使用dnSpy)并读取代码。我们可以看到一些具有描述性名称的类,例如ProtectMe、ScreemCapture、SocketClient。乍一看,我们可以看到这个恶意软件的目的:监视用户和后门被感染的机器。类窗体1是主模块,负责与数控系统的通信和协调动作。它包含用于恶意软件安装的硬编码数据和CnC服务器的地址:37.187.92.171:98受害者名称从二进制文件中复制并保存在注册表项中:如果bot检测到e-Carte blue(一种法国支付卡)的软件,它会将相应的字符串添加到标识符中,并将附加信息发送到服务器:每个模块独立运行,在新线程中启动:录像我们可以看到负责下载ffmpeg应用程序的代码片段:恶意软件作者的主要目标是监视用户的银行活动。这就是为什么,当受害者打开一个与网上银行有关的特定网站时,就会触发视频录制事件。目标列表由CnC提供,并保存在注册表项"ve"下,例如:定期检查列表中的目标是否已在浏览器中打开。如果检测到,为什么防御ddos的成本那么高,恶意软件会部署录像机:函数"VeifyingTime"将标题栏与提供的字符串进行比较。在ffmpeg应用程序的帮助下录制视频:之后,它们被发送到CnC,以Base64编码:该恶意软件还具有制作简单截图的功能,保存为JPG。Rar应用程序定期压缩图片和捕获的日志,然后还发送到CnC:键盘记录器kyl类名代表keylogger:它还可以枚举打开的窗口:这是负责创建前面提到的.tmp文件的类:保护我此类负责禁用可用于监视恶意软件活动的应用程序:插件机器人的基本功能可以通过从CnC下载的附加插件进行扩展:在观察到的案例中,机器人下载了两个插件,为其提供了典型的RAT功能:流程管理器.dl,ddos攻击防御研究内容,写于2015年:以及远程桌面.dll,写于2016年:与主模块和以前的插件相反远程桌面.dll是模糊的。其类和变量的名称不再有意义:结论这是一个简单的恶意软件准备的。二进制和通信协议都没有很好地混淆。用过的封隔器很有名,很容易被打败。然而,恶意软件有丰富的功能,似乎是积极维护。它监视受害者和后门攻击机器的能力不应掉以轻心,因为即使是一个简单的威胁行为体,当被忽视时也会造成很大的损害。此恶意软件被恶意软件检测为后门。双重身份.