来自 DDOS 2021-04-04 15:07 的文章

高防_最好的_马来西亚网站防御

高防_最好的_马来西亚网站防御

最近,我们面临着一个新的类似Petya的恶意软件的大规模爆发,这种恶意软件带有类似于WannaCry的感染者。研究仍在进行中,报告全文将很快发表。在这篇文章中,我们将关注当前恶意软件的一些新的重要方面。低级攻击的工作方式与这里描述的第一个Petya相同。和以前一样,磁盘的开头被恶意的Petya内核和引导加载程序覆盖。当恶意内核启动时,它使用Salsa20对主文件表进行加密,从而使磁盘无法访问。来自Petya内核的代码没有太大变化,但是在高级部分(Windows可执行文件)中实现的新逻辑导致了恶意软件任务的改变。过去,ddos防御系统安装在哪,在支付赎金后,受害者的Salsa密钥被恢复,在它的帮助下,Petya内核能够解密主文件表。现在,必要的钥匙似乎永远地丢失了。因此,恶意软件似乎只有破坏性的意图。让我们看看实现并讨论细节。分析样品:71b6a493388e7d0b40c83ce903bc6b04–主DLLf3471d609077479891218bf93a77ceb–底层部分(Petya引导加载程序+内核)[更新]在Salsa20实现中发现了一个小错误。不幸的是,怎么自己搭建高防cdn,它的重要性不足以帮助恢复密钥。磁盘是如何加密的?影响主文件表的低级攻击自从Goldeneye之后就没有改变。它由Petya内核执行。Salsa20算法在Petya的早期版本中被错误地实现并导致它被破解,在版本3中已经被修复(请在这里阅读更多内容)。现在它看起来和Goldeneye几乎一样(那是进化的第四步),而且似乎没有任何明显的缺陷。因此,一旦数据被加密,拥有有效的密钥是恢复它的唯一方法。下面是当前版本和Goldeneye版本之间代码更改的比较。查看代码内部,我们可以看到,只对负责用信息显示屏幕的元素进行了重大更改。另一个微妙但有趣的变化是Salsa20键扩展功能。虽然Salsa20算法本身没有改变,但与原始版本相比,有一个关键字发生了变化。这是当前示例的代码片段:这是Goldeneye的相应片段:我们没有Salsa20的典型关键字("expand32 byte k"),而是定制了一些东西:"-1nvald s3ct id"(可以解释为:"无效扇区id")。正如我们所证实的,这个关键字的改变并不影响密码的强度。然而,它可能被视为关于攻击者真实意图的信息。如何生成Salsa密钥?和以前一样,生成Salsa密钥和nonce是由PE文件(在感染者的更高级别中)完成的,10gddos防御,该文件位于准备存根写入磁盘的函数中。在所有版本的Petya中,都使用了一个安全的随机生成器。我们可以在当前版本中找到它,它使用CryptGenRandom。生成的Salsa密钥和nonce存储在专用扇区中,供内核在加密期间进一步使用。存储数据示例:偏移量0x4000处的字节是标志:0表示磁盘尚未加密,1表示已加密。从偏移量0x4001开始,Salsa20键开始。它有32个字节长。之后,在偏移量0x4021处有随机的Salsa20 nonce。加密后Salsa密钥会发生什么?在被读取并用于加密算法之后,存储的Salsa密钥将从磁盘上擦除。您可以看到加密阶段前后磁盘映像的比较。如你所见,使用后钥匙会被擦除。受害者身份证和莎莎酱钥匙之间是什么关系?在以前的Petya版本中,受害者的ID实际上是受害者的Salsa20密钥,抗ddos攻击防御系统,用攻击者的公钥加密并转换为Base58字符串。因此,尽管Salsa密钥已从磁盘上删除,但备份仍然存在,只有攻击者可以访问,攻击者有私钥来解密它。现在,这不再是真的了。受害者的ID是随机生成的,甚至在生成随机Salsa密钥之前。所以,在当前版本中,Salsa密钥和受害者ID的关系是none。受害者的身份证就是垃圾。你可以在视频中看到生成它的过程。从受感染磁盘重启后,我们可以确认Salsa key和nonce之前生成的随机字符串与屏幕上显示的受害者ID("personal installation key")相同:结论根据我们目前的知识,恶意软件是故意恢复的。然而,它仍然有效地使人们支付赎金。我们注意到,比特币账户正在进行新的支付。你可以在这里看到比特币地址的链接:https://blockchain.info/address/1Mz7153HMuxXTuR2R1t78mGSdzaAtNbBWX如果你是这个恶意软件的受害者,你正在考虑支付赎金,我们警告你:不要这样做。这是一个骗局,cc攻击没法防御,你很可能永远也得不到你的数据。我们会让你随时了解我们的调查结果。附录微软关于新版Petya的报告关于原始版本(Goldeneye):Goldeneye勒索软件-Petya/Misha组合更名 这是Hasherezade写的一篇客座文章,他是一位对InfoSec有强烈兴趣的独立研究员和程序员。她喜欢详细了解恶意软件,并与社区分享威胁信息。在Twitter@hasherezade和她的个人博客上查看:https://hshrzd.wordpress.com。