来自 DDOS 2021-05-03 05:18 的文章

高防cdn_ddos高防服务器价格_限时优惠

分析用于写入网络签名的恶意文件攻击者不断修改恶意软件以逃避杀毒软件。攻击者将使用各种打包程序打包或加密恶意文件。阻止每一个恶意的可执行文件对杀毒软件供应商来说是一项挑战性的任务。大多数恶意文件一旦安装,就会试图下载其他恶意软件或向攻击者控制的恶意服务器发送HTTP GET/POST请求。恶意文件可以收集敏感信息,然后将其发送到受控制的服务器。鉴于恶意软件的联网能力,除了简单地识别恶意二进制文件本身外,我们还可以通过识别网络流量中的某些模式来检测恶意软件。这篇博客将解释一个拥有有限反向工程技能的人如何监控网络流量以识别恶意二进制文件。在本教程中,我们将使用真实世界中的恶意服务器的示例-hxxp://uaetoon.net/scan/". 这个网站托管了一个假防病毒程序,旨在说服受害者他们的电脑被感染。该网站显示了不同的安全警报,如"您的计算机已被感染"。以下是恶意网站的截图一旦被访问,ddos攻击的最佳防御点,网站便会说服受害者下载一个名为"的恶意二进制文件"安装程序.exe"为了消除系统上发现的假威胁。当然,安装二进制文件实际上是在机器上安装特洛伊木马,而不是AV解决方案。恶意二进制文件随后会向攻击者控制的恶意服务器发送各种HTTP请求。我们可以通过允许二进制文件在虚拟机中执行来研究网络流量,但是这种方法有一些局限性:需要一个单独的受控环境来运行恶意样本。在您的生产网络上运行样本是不明智的。根据恶意服务器的可用性,维盟DDOS自动防御,并非所有HTTP请求都被恶意二进制文件触发。由于上述限制,我们有时需要首先反转恶意二进制文件,以便检索目标服务器等字符串。这是很容易做到的,只要有限的逆向工程知识和不运行样本。让我们从一些静态分析开始。将恶意文件下载到您的计算机或VMware映像上,但不要运行它。让我们先看看文件是否是用一些著名的打包机打包的。为此,您需要在十六进制或文本编辑器中打开恶意文件。这是文件在文本中打开时的屏幕截图编辑:这里,了解一些常用的封隔器会有帮助。UPX(Executables的终极打包机)经常被攻击者使用,因为它是一个免费的开源打包机。如果恶意文件使用UPX打包,通常会在恶意文件中以纯文本形式找到类似"UPX"和"UPX1"的字符串。现在我们知道文件已经被UPX打包,我们需要解压它并在idaprodismbler中打开它。要解包恶意文件,请下载UPX packer。解压缩打包程序并将恶意文件复制到UPX文件夹中。用下面截图中的简单命令解包恶意文件,现在,文件已经解包,可以在IDA pro中打开。我们不会为了这个博客的目的而对文件进行完全的反向工程,开发防御ddos,而是寻找可能的域,在那里发送流量。在下一个屏幕截图中,您可以看到IDA中的二进制文件赞成:允许艾达Pro来完成它的分析,然后打开"字符串窗口"来识别文件使用的字符串。通过strings窗口,您将了解大量关于这个二进制文件执行的活动,便宜的高防cdn,例如注册表更改或发送的网络流量。让我们看看一些有趣的字符串:来自在上面的字符串中,我们可以得出这样的结论:这个恶意的二进制文件在"Run"下创建注册表项,以便在每次重新启动计算机时运行此可执行文件。这个二进制文件还可以发送内容类型为x-www-form-urlencoded的httppost请求,它引用URL格式。这是在编写模式匹配签名时有价值的信息,以便阻止进一步的感染。复制并保存URL格式"http://%s%s?"?动作%sor&v=1&a=%d&id=%s&hardid=%s"。恶意文件稍后将用域字符串和其他数据代替%s(字符串)变量。这是另一套弦:我们现在拥有所有恶意域,以及另一个URL模式。就这样!我们现在有了编写基于网络的签名所需的所有域和URL模式。虽然这种方法并不适用于所有情况,但它确实代表了一种有效的方法来编写网络签名,ddos防御阀值,而不需要进行一个全面而耗时的逆向工程练习。现在我们有两个URL模式:%s%s?动作%sor&v=1&a=%d&id=%s&hardid=%s%s?action=%sgen&v=%s我们现在可以轻松地阻止所有HTTP请求,包括上述模式。即使攻击者更改了使用的域,URL格式保持不变的可能性也很高。原来,这个流量与现在众所周知的Koobface蠕虫有关。阻止所有变种的恶意软件可能是困难的,但我们可以大大提高检测率,通过额外监测网络流量。希望这会有用。乌梅什Zscaler_媒体_中心2_博客_发布_1-R1