来自 DDOS 2021-05-02 16:01 的文章

DDOS高防服务_云服务器防御_打不死

DDOS高防服务_云服务器防御_打不死

暗云装备在之前的一篇关于加密恶意软件的博客中,我们描述了网络犯罪分子使用的不同技术,例如加密挖掘和钱包盗窃。在本博客中,我们将提供另一种加密矿工恶意软件的技术分析,这些恶意软件使用bootkit和其他内核级外壳代码来实现持久性。安装安装程序负责感染系统的主引导记录(MBR),ddos攻击防御用户最大并发数,主引导记录标识操作系统的位置和位置。它打开引导驱动器(图1)并读取第一个0x400字节,这是MBR数据。图1:打开引导驱动器,它检查GUID分区表(GPT)分区标志,并且不会感染GPT磁盘(参见图2)。图2:检查GPT磁盘,它将干净的MBR代码从扇区0移动到扇区1(图3),并在扇区0中插入恶意代码(图4)。恶意代码是从扇区2-53写入的。图3:清理MBR代码图4:恶意MBR的受感染MBR代码分析恶意MBR代码挂钩15h中断(图5)。它专门挂接中断(int)15h的服务0xE820(图6)。此服务用于查询系统内存。图5:中断15h挂接图6:服务0xE820挂接后,加载原始MBR代码以继续引导过程。在执行期间,免费高防国外cdn,当bootloader调用int15h时,恶意软件代码接收控制并验证AddressRangeDescriptor类型、BaseAddrLow、BaseAddrHigh和LengthLow。在验证之后,它修改LengthLow值以隐藏恶意MBR代码(图7)。图7:隐藏恶意代码加载内核恶意软件使用不同的方法加载到内核中,这取决于Windows版本。图8列出了XP和7个Windows版本的不同方法。图8:WindowsXP中的执行流,它在中修补BlLoadDeviceDriver函数中的代码osloader.exe. 它还可以在调用函数BlLoadImageEx后修补BlLoadDeviceDriver中的代码。BlLoadImageEx函数映射内存中的所有设备驱动程序。Ntoskrnl.exe文件将加载并执行这些驱动程序(IopInitializeBootDrivers->iopInitializeBuiltDriver)(图9)。图9:BlLoadDeviceDriver函数的修补代码与未修补代码的比较osloader.exe尝试加载磁盘系统驱动程序,它在资源部分注入恶意外壳代码,并将修改后的入口点注入恶意外壳代码。图10:搜索资源节并比较外壳代码的节大小图11:恶意软件外壳代码磁盘系统资源部分在Windows7中,恶意软件从中的OslpMain(入口点)搜索OslArchTransferToKernel函数的地址winload.exe文件. OslArchTransferToKernel将控制权转移到NTOSKRNL.EXE文件. 恶意软件修补此函数(图12)以获取的加载地址NTOSKRNL.EXE文件. 图12:获得控制权后修补的OslArchTransferToKernel函数代码NTOSKRNL.EXE文件,恶意软件补丁ZwCreateSection API(图13)。图13:内核外壳代码1的修补ZwCreateSection API分析:此外壳代码负责隐藏恶意MBR代码并防止AV产品加载。外壳代码首先检索ntoskrnl.exe文件并获取不同API的地址。DRIVE_OBJECT的未记录字段(偏移量0x14处)用于检索模块项指针,并枚举以获取的基址ntoskrnl.exe文件(见图14)。图14:搜索的基址ntoskrnl.exe文件API名称在代码中存储为32位哈希值。ROR13计算方法用于为每个API名称生成哈希值(图15)。图15:API哈希计算反AV技术阻止AV系统加载,恶意软件创建的通知对象类似于360 AV产品设备驱动程序中使用的设备名称。图16:隐藏恶意MBR代码的AV相关设备名称不同的低级驱动程序被修补以隐藏恶意MBR代码。在Windows XP中,的IdePortStartIo函数atapi.sys公司被钩住(图17)。图17:挂接IdePortStartIo函数atapi.sys公司挂钩函数专门查找读写请求(图18)。如果有对扇区0-61的读取请求,它将挂接发送到atapiDeviceObject的IRP的CompletionRoutine,并提供一个干净的MBR代码。图18:检查SCSI命令描述符块(CDB)的读写请求如果扇区0-61有写请求,恶意软件会修改命令描述符块(CDB)中的操作代码和SCSI_request_block对象的SrbFlags标志。操作代码更改为0x28(SCSIOP_READ),SrbFlags设置为SRB_FLAGS_DATA_,表示这是一个读取操作。因此,写请求被简单地转换成读请求并传递给驱动程序。图19显示了MBR隐藏函数的执行流程。图19:内核外壳代码2的IdePortStartIo钩子函数执行流分析:此外壳代码作为系统线程执行,但如果系统在安全模式下启动,则会自行终止。它搜索资源管理器.exe处理并注入usermode外壳代码(称为ushellcode1后记)。压缩引擎使用最大压缩标志(图20)。图20:第一个用户模式外壳代码Ushellcode1被注入资源管理器.exe线程数据,它是内核模式线程和ushellcode1线程之间的共享内存,如图21所示。远程APC线程技术、keinitializeac和KeInsertQueueApc内核api用于实现这一点。它还执行ushellcode1下载的内核外壳代码。图21:线程数据在第二步中,cc攻击防御的产品,它搜索与不同安全软件解决方案相关的进程(表1),并终止进程。进程名称avp.exeekrn.exe文件safedogguardcenter.exe竹东方玉.exeegui.exewdswfsafe.exe文件360托盘.exe节点32krn.exeKSafeTray.exe文件超级杀手.exeavgrsa.exedwengine.exe文件360sd.exe文件avgui.exe矮人门.exe360rps.exe文件avscan.exevssery.exe文件QQPCRTP.exe第3版svc.exemfemms.exe文件systemaidbox.exe第3版医疗.exe  avgnt.exe文件Rtvscan.exe   avengine.exe软件avastsvc.exe  msmpeng.exe文件bdagent.exe  nissrv.exe文件麦克斯盾.exe  msseces.exe文件mcsvhost.exe  ccSvcHst.exemfefire.exe文件ushellcode1分析此外壳代码下载另一个外壳代码和一个配置文件。配置文件被加密(使用简单的XOR)并保存在C:\Windows\Temp中\ntuser.dat公司文件。图22:下载配置文件配置文件包含不同的URL地址,搭建高防cdn,用于下载进一步的外壳代码和配置文件。配置文件的内容如图23所示。对于主部分中提到的IP,它附加了"测试消息.tmp"字符串在结束URL处生成一个完整的URL,作为外壳代码。类似地,对于下面的[update]部分中提到的所有URL,它会附加字符串"地址.txt"所以这些url用于下载更新后的配置文件。图23:配置文件内容下载的外壳代码使用来自新配置文件的信息继续下载最终有效负载(图24)。负载以名称保存在%SYSTEMROOT%\\TEMP文件夹中conhost.exe文件(图25)并使用"-C create-r"参数执行。图24:新的配置文件内容图25:下载有效载荷的最终有效载荷分析这个有效载荷作为下载器工作。在我们的分析中,我们发现它下载了一个密码挖掘工具。它将自己注册为一个名为"WindowsAudioControl"的Windows服务,它支持不同的命令行选项(图26),包括主要选项:创建、删除、启动和停止服务。图26:不同的命令行选项。在没有任何命令的情况下执行时,它首先下载xpxmr.dat公司包含C&C IP地址和URL列表的文件。此_配置_文件_保存_在_C_:\\\\_Program_Files_\\\\_Common_Files_文件夹_中_ 。_它还下载以下配置文件:文件名说明版本.txt包含恶意软件有效负载的新版本;如果它与当前版本不匹配,维盟ddos防御,将下载新版本/确定/向下.html接收用于下载其他恶意软件有效负载的URL杀戮.txt此文件包含要终止的进程的名称和要删除Zscaler Coverage的文件路径Zscaler通过以下签名检测此威胁:64周/特洛伊木马.TOKZ-7175 Win32。Coinminer.Agent.LZWin32。特洛伊木马.Darkcloud.LZ显示此恶意软件引爆活动的云沙盒报告如下: