来自 DDOS 2021-04-06 03:56 的文章

高防ip价格_如何防止_CC防护哪里有

高防ip价格_如何防止_CC防护哪里有

在一个月前被击败后,佩蒂娅带着新花样回来了。现在,不是作为一个勒索软件,而是与另一个恶意有效载荷-米沙捆绑在一起。它们都是以《黄金眼》电影中的卫星命名的。它们在系统的不同层部署攻击,并用作替代方案。这就是为什么,cc策略防御软件,我们决定用一个以上的帖子来讨论这个现象。欢迎来到第一部分!分析的主要焦点是Petya(绿色版本)。第二部分(关于米莎)你可以在这里读到。更新:改进版的绿色宠物已经出来了。更多细节将在新文章中给出。让我们从一些背景资料开始。这一次,作者还部署了一个页面,其中包含勒索软件即服务(Ransomware-As-a-Service)潜在客户的信息:就像奇美拉的案例一样,作者使用比特信息与犯罪合作的新兵进行交流:打瞌睡后的威胁,也来自奇美拉:分析样品8a241cfcc23dc740e1fadc7f2df3965e–主可执行文件f7596666d8080922d786f58922dd70742–主可执行文件(来自不同的活动)执行流程主可执行文件–由加密程序/FUD保护的滴管:解包和部署:安装程序.dll安装:Petya或者-部署:米沙.dll行为分析与上一个版本一样,它通过云存储分发,并假装是一个工作应用程序:可执行文件再次使用PDF文档的图标打包:部署后,它可以丢弃两个有效负载中的一个,即Petya,它的工作原理与前面描述的版本类似,防御cc盾,或者Mischa,它具有典型勒索软件的特性。部署哪个有效负载的决定是基于运行示例的特权的——这意味着可以访问写入MBR。如果无法编写,作者决定不错过感染系统的机会,并使用Mischa部署更典型的用户端攻击。从用户的角度来看,您对UAC弹出窗口所做的决定将导致部署两个有效负载中的一个。如果你选择"不"—你会得到米莎。如果你选择"是"—你就得到了彼娅。彼佳感染过程看起来与之前的Petya verison完全相同。用户帐户控制通知弹出,如果用户接受它,Petya将自己安装到MBR中并使系统崩溃。感染的第二阶段看起来也差不多。首先它运行的是伪造的CHKDSK,实际上是对光盘进行加密。然后,用户可以看到ASCII艺术与闪烁的头骨和赎金笔记。只改变了颜色主题-我们用黑色背景和绿色文字代替了红色:这个主题与完整的勒索软件是一致的——我们可以在受害者的页面上找到相同的颜色,也可以在带有米莎丢弃的赎金便条的HTML上找到相同的颜色。受害者页面:内部新版本的Petya使用了完全相同的引导加载程序——同样,它从扇区34开始将32个扇区加载到0x8000的内存中,然后跳到那里。内核启动:同样,使用保存在扇区54开头的一个字节标志来检查数据是否已经被加密。如果该标志未设置(第一个字节的值为0),程序将进行伪CHKDSK扫描。否则(如果字节值为1),则显示绿色主屏幕。用于加密的密钥再次由滴管生成并存储在二进制文件中。这就是为什么如果我们在第一阶段抓到Petya——在伪CHKDSK运行并删除它之前,恢复系统仍然很容易。支持第一阶段密钥恢复的livecd已经发布(在这里)。密钥验证密钥验证按以下步骤执行:读取来自用户的输入(键)。接受的字符集:123456789abcdefghijkmnopqrstuvwxABCDEFGHJKLMNPQRSTUVWX–如果出现此字符集之外的字符,则跳过该字符集。只存储前16个字节来自扇区55(512字节)的数据被读入内存//它将被表示为验证缓冲区存储在物理地址0x6c21(就在Tor地址之前)的值被读入内存。它是一个8字节长的数组,对于特定的感染是唯一的。//它将被表示为nonce验证缓冲区由Salsa20用16字节长的密钥和nonce加密如果作为应用过程的结果,验证缓冲区完全填充了0x7–这意味着提供的密钥是正确的。新宠物有什么变化?存储Salsa密钥(第1阶段)这一次,密钥以不同的方式保存,不加扰。也许作者意识到加扰并不能为他们提供任何保护,所以他们完全放弃了这个想法:莎莎香肠的长度在Red Petya中,作者使用了16字节长的密钥,linux如何防御ddos,但是,他们对其进行了置乱,并用它生成了一个32位长的密钥。现在他们放弃了,ddos在线攻击如何防御,只使用16字节长的密钥。这就是为什么在新的Petya中,我们将看到函数expand32而不是expand32:实施萨尔萨语同样这一次,Salsa20在Petya代码的几个地方被使用,用于加密、解密和密钥验证。见下图:我们对Salsa实现片段进行了比较,这些片段在以前的实现中被发现是脆弱的。萨尔萨20请参见以下该功能的原始版本-从Salsa20实现中复制:静态uint32_t rotl(uint32_t值,int shift){返回(value(32-shift));}代码比较-旧代码与新代码:这就是它在红矮树上的实施方式:这个函数的旧版本采用了2个参数,它几乎是原始函数的一个完全克隆-唯一的区别是它使用了16位变量。代码重建:静态uint16_t rotl(uint16_t值,int16_t shift){返回(value(32-shift));}新版本-来自Green Petya:新版本更为复杂,它有3个参数,并使用对其他helper函数的调用。为了实现移位DWORD的功能,使用了两个字大小的参数(一个代表DWORD的较低部分,另一个代表较高的部分):静态uint16_t rotl(uint16_t value_word1,Apache防御cc教程,uint16_t value_word2,int16_t shift){return(shr(value_word1,value_word2,(32-shift))| shl(value_word1,value_word2,shift));} s20_哈希原始版本:https://github.com/alexwebr/salsa20/blob/master/sal20.c\L59代码比较-旧代码与新代码: 第一个更改的片段对应于原始Salsa20实现的这一部分:对于(i=0;i