来自 防护 2021-04-06 10:06 的文章

T级高防_如何_100g防御

T级高防_如何_100g防御

勒索软件的作者似乎喜欢神话生物。我们见过奇美拉,现在我们来看看瑟伯。它们都是以强大的野兽命名的,而且都是以专业的方式准备的。正如SenseCy所说(来源),Cerber是在俄罗斯地下论坛上卖给分销商的。此恶意软件通常通过漏洞工具包进行分发(请参阅此处了解更多信息)。更新:Checkpoint发布了一个用于Cerber的解密工具分析样品f5146a3bbe6c71e5a0ef2f04f955b1a12f7059d7b1dda3080e391d99788fff18有效载荷:9a7f87c91bf7e602055a5503e80e2313[当前用户的SID]:"软件\\Microsoft\\Windows\\CurrentVersion\\Run""软件\\Microsoft\\Windows\\CurrentVersion\\RunOnce""软件\\Microsoft\\Windows\\CurrentVersion\\Policys\\Explorer"->"运行""软件\\Microsoft\\Command Processor"->"自动运行"但是,当加密成功完成时,删除掉的样本。加密过程Cerber可以在脱机模式下加密文件-这意味着它不需要从CnC服务器获取密钥。已加密的文件将完全重命名,并附加此勒索软件的典型扩展名:.cerber。名称的模式:[0-9a-zA-Z_-]{10}.cerber加密的内容具有很高的熵,并且没有可见的模式。下图:字节的可视化方块字.bmp:left–原始,右侧用Cerber加密: 加密文件的内容在每次加密时都是不同的-可能密钥是动态生成的。在文件内容的加密大小增加约384字节后*——可能建议将RSA加密的AES密钥附加到文件中(*根据文件的不同,此值可能会有所不同,可能是由于填充不同)。执行后,它会以两种形式显示赎金单:HTML和TXT。这张便条只有英文版。示例如下:C E R B E R R公司您的文档、照片、数据库和其他重要文件已加密!在赎金单的底部,ddos大流量攻击防御,攻击者添加了一句拉丁语:«…Quod me non necat me fortiorem fact.»("什么不会杀死我,会让我更强大")。我们只能猜测他们想要传达什么——分享他们自己的座右铭,或者安慰袭击的受害者?它还附带了一个VB宏,该宏在本地文本语音转换仿真器的帮助下大声说出消息:设置SAPI=CreateObject("SAPI.SpVoice公司")萨皮,说话"注意!注意!注意!"对于i=1到5萨皮,说话"您的文档、照片、数据库和其他重要文件已加密!"下一个受害者网站每个受害者都有一个可以通过Tor访问的网页。尽管赎金通知只有英文版本,但Tor网站可以定制多种语言:这些页面包含对受害者的进一步说明以及对管理付款的支持。赎金价格上涨的时间从第一次访问本网站开始计算。要解密您的文件,您需要购买特殊的软件-。网络通信Cerber可以在没有CnC的情况下很好地进行管理,离线完成任务。但是,ddos防御瓶颈,如果有机会,它可以与CnC通信,以便从加密过程中发送统计信息。首先,它通过查询一个真正的服务http:/ipinfo.io/json然后,我们可以观察到向预定义的IP地址范围发送UDP请求:内部Cerber示例由一些加密程序/FUD打包,因此代码一开始不可读。即使我们打开内核(即9a7f87c91bf7e602055a5503e80e2313),也只有少数字符串是可读的。这是由这样一个事实造成的:作者决定在使用字符串之前对字符串进行加密和解密。例子:解密函数采用以下参数:解密字符串(char*input_buffer,DWORD input_lenght,DWORD key,BOOL is_unicode)少数未加密的字符串之一是针对反恶意软件供应商的检查(其中之一是恶意软件)。供应商列表是JSON格式的,Cerber已经广泛使用了这种格式。另一个有趣的未加密字符串是一个日志,显示加密的统计信息(如果恶意软件部署在调试模式下,则使用该功能):配置文件Cerber附带了一个加密的资源,存储为RC数据。它由一个专用函数解密:解密后,它变成了JSON格式的配置(您可以在这里看到完整的配置):配置有丰富的选项。包含,国内cc防御,即:一个黑名单,用来排除一些国家、语言、文件名和目录受攻击扩展的列表启用的环境检查是否以调试模式部署示例加密设置和输出扩展base64中的公钥RSA(已解码)。带赎金单的文件将被丢弃用于获取地理位置的服务列表发送统计信息的IP范围(与"网络通信"一节中描述的IP进行比较)要发送的统计数据格式分发服务器可以在配置文件的帮助下自定义许多内容。改变恶意软件的全部外观和感觉-受攻击的扩展名、勒索笔记甚至加密文件的扩展名-可以让它看起来像一个新产品。这种灵活性让我怀疑,同一个软件包是否会在不同的活动中分发——不是以Cerber的身份,而是以其他名称分发。分析样品的分发者决定将几个国家排除在攻击之外(亚美尼亚、阿塞拜疆、白俄罗斯、格鲁吉亚、吉尔吉斯斯坦、哈萨克斯坦、摩尔多瓦、俄罗斯、土库曼斯坦、塔吉克斯坦、乌克兰、乌兹别克斯坦)。它还将节省你的默认Windows目录,Tor浏览器和比特币钱包。正在加载密钥该示例附带了配置文件中附带的公钥RSA(在上一节中进行了描述)。下面-从Base64解密公钥:使用函数CryptImportPublicKeyInfo导入密钥。提到的配置:"rsa_key_size":576–但它原来是2048位密钥(BLOB大小–276字节)安装删除样本的文件名是以一种非常有趣的方式创建的。它不是完全随机的,而是基于系统中存在的某些文件的名称,在系统中使用随机过滤器进行搜索(格式:"[random char]*[random char])。exe",即"p*h.exe"):将找到的文件与一些内置的黑名单进行比较。当它通过检查时,动态cc怎么防御,它被选为被删除的恶意软件副本的新名称。为了防止用户通过创建时间戳找到恶意文件,将其更改为本地系统上存在的kernel32.dll的时间戳。成功安装后,初始恶意软件示例将终止并部署丢弃的副本。UAC旁路Cerber使用技巧绕过Windows用户帐户控制(UAC),并使用提升的权限部署自己。通过以下步骤实现:在C:\Windows\system32中搜索一个可执行文件,它可以自动提升它的权限。在它的导入表中搜索一个可以被劫持的DLL将DLL复制到%TEMP%文件夹并修补它–在新节和修补程序入口点添加代码,以便将执行重定向到那里。它将用于以提升的权限运行cerber示例。它使用:WinExec("[cerber_path]-eval 2524",SW_SHOWNORMAL)将代码注入资源管理器.exe–负责执行UAC旁路。在C:\Windows\system32中创建一个新文件夹,并以原始名称复制两个文件(一个EXE文件和一个修补的DLL文件),然后部署导致DLL加载和执行恶意代码的EXE。当UAC旁路成功执行时,cc攻击防御免费平台,它会通过设置属性cerber_UAC_status–添加到Shell_TrayWnd来通知原始cerber示例。然后,原始示例删除删除删除的文件并退出。否则,它用不同的EXE+DLL对尝试相同的技巧。请参见下面的实际效果:首先,它搜索可用于提升权限的应用程序。检查基于应用程序清单中的字段:true它在导入的DLL中搜索一个适合被劫持的候选程序。此DLL已复制到%TEMP%文件夹中然后,它会创建一个资源管理器,在它的上下文中分配内存并注入自己的代码。详情如下。在explorer中的注入分为几个步骤。首先,恶意软件将内存从当前进程的上下文复制到资源管理器. Cerber示例的当前映像被复制到资源管理器中0x70000处分配的内存中。类似地,包含填充数据的页面在资源管理器中的偏移量0x91000处被复制。当资源管理器.exe恢复后,恶意软件将对运营商的入口点进行修补:现在,Explorer的执行从调用注入的代码开始。它是Cerber sample的一个函数,在RVA 0x55E1,用参数0x91000调用-指向内存页的指针,其中包含各种动态加载的数据,如函数的处理程序、要使用的文件的路径等。从注入到explorer的代码中,DLL修补了