来自 防护 2021-04-06 12:04 的文章

服务器盾_如何防止_网站防御cc攻击

服务器盾_如何防止_网站防御cc攻击

LeChiffre是另一个勒索软件,最近被观察到造成了一些重大损害(在孟买-阅读更多)。关于它的资料不多,所以我们决定去看看。它不同于现在大多数勒索软件。LeChiffre需要在受损系统上手动运行,增加带宽ddos防御,而不是向用户传播并自动感染他们的机器。常见的感染情况是,ddos防御网,攻击者自动扫描网络,寻找安全性较差的远程桌面,破解它们,并在远程登录后手动运行一个LeChiffre实例。它对文件进行加密,并在文件名后附加一个扩展名".LeChiffre"。这个名字来自法语-字面意思是"数字",但它也被称为动词"chiffrer"和名词"chiffrement"意思是加密和加密-更多细节请点击这里:https://fr.wikipedia.org/wiki/Chiffrement。(感谢@jeromesegura提供的提示)。另一个可能的解释是,创作者想引用詹姆斯·邦德系列中的一个角色。分析样品:4523ccfd191dcceeae8e884f82f5c7ad更新:Emsisoft发布了这个勒索软件的解密程序更新2:McAfee实验室解锁勒索软件行为分析它作为典型的Windows可执行文件分发:当我们运行它时,会出现一个带有俄语标签的GUI:将它的副本放入回收站,伪装成jpg:文件加密文件加密过程在我们手动运行后开始。顶部的第一个按钮扫描所有可用的磁盘并用给定的扩展名加密文件。样品结果:关于赎金要求的信息:用户对加密过程有很大的控制权。点击顶部的第四个按钮(分别点击)我们可以自己选择一个要加密的文件。完整的加密过程可以离线进行,无需互联网连接——这证明密钥是在本地生成的,空间如何防御CC,而不是像加密墙一样从C&C服务器下载。与其他勒索软件相比,恢复文件的过程也非常奇怪——攻击者希望受害者只向他们发送一些加密文件和秘密代码(即128字节长,base64编码)。离开后门除了加密系统上的文件外,LeChiffre还通过替换一个文件来留下后门sethc.exe文件(C:\Windows\system32\粘滞键)通过命令提示符. Windows运行sethc.exe文件当用户按SHIFT键5次时。即使用户未登录系统(登录屏幕),也可以部署它。通过将其替换为任何其他应用程序,我们可以从未登录用户级别部署该替换应用程序。将其替换为命令提示符,攻击者可以在不知道密码的情况下访问系统命令行,甚至可以更改密码。网络通信启动时,LeChiffre通过查询地址获取地理位置的数据:api.sypexgeo.net网站–然后,国家代码显示在GUI的左角。如果扫描启动,它也开始与远程服务器通信:通过一个简单的基于HTTP的协议。实验为了可视化加密方法,我们做了一个实验。作为输入,我们采用了一个正方形大小的BMP下面您可以看到原始文件的可视化。开头有一个小标题,后面是原始字节(BMP格式保持字节的倒序,这就是图片颠倒的原因):的原始字节考拉.bmp:这是原始字节的可视化考拉.bmp.LeChiffre–以上文件由LeChiffre加密:大部分内容没有改变!只有文件的开头和结尾被恶意软件加密。另一个例子:Left–原始BMP的原始字节,https防御ddos,right–由LeChiffre加密的相同BMP:不管文件大小,LeChiffre总是在文件开头加密前0x2000(8192)个字节:然后,类似地,它在文件末尾加密0x2000字节。之后,它会将32字节(265位)长的内容附加到文件中—可能是AES密钥或初始化向量。下面的示例–从0x22F9E到0x22FBD的附加内容):这个32字节长的有效负载不是每个文件生成的—在另一个文件上进行的实验给出了相同的结果(7A 02 5B 5A…A9 39 E1 98)内部二进制文件是UPX压缩的。打开后我们可以发现,它是用Delphi编写的。反编译形式(TForm.dfm公司)包含3个base64编码元素。解码后,我们可以发现它们包含一个HTML,分为3个块:.gist表{margin bottom:0;}区块1.html区块2.html区块3.html合并后,我们得到了"注意"信息的模板:LeChiffre不仅加密本地文件,而且加密所有可用资源。那些在本地网络中共享的…以及其他由RDP或某些虚拟环境映射的:它还列出了所有可用的用户:在文件扫描期间将数据发送到硬编码的C&C:结论莱奇弗看起来很不专业。代码是用Delphi编写的,并由UPX打包——实际上,没有针对分析采取任何对策。这可以被这样一个事实所证明,阿里ddos防御现状,这个勒索软件并不是打算在战役中分发的,只是在攻击者进入系统后才使用。然而,加密和与受害者(通过电子邮件)的通信模式执行不力,表明这种恶意软件是懒散地准备的,可能是初学者准备的。尽管如此,它还是造成了一些损害。它只证明了提高对勒索软件的认识是非常重要的。即使是一个执行不好的恶意软件仍然会导致粗心的用户赔钱。附录——莱奇弗袭击孟买——论坛BleepingComputer上关于LeChiffre的帖子