DDOS防御专家-提供超强DDoS高防/CC防护/大流量清洗服务!
当前位置:主页 > CC防护 > 正文

服务器防御_ddos防御云服务_快速接入

01-12 CC防护

服务器防御_ddos防御云服务_快速接入

在这个恶意软件分析的聚光灯下,VMRay实验室团队将检查MassLogger,一个间谍软件/盗贼,在4月底首次在野外被公开观察到。在我们的分析过程中,我们对MassLogger用于发现主机和窃取敏感数据的技术进行了大量的行为匹配。查看MassLogger的VMRay Analyzer报告MassLogger通过打开恶意Word文档(图1)来交付,该文档利用方程式编辑器(CVE-2017-11882/CVE-2018-0802)中的漏洞进行攻击,该漏洞允许接管控制流。图1:文档的屏幕截图。这将导致从下载第二级有效负载hxxp://sadiqgill公司[.]com/assets/fonts/EIC[.]exe(图2),它保存在本地%appData%中并执行。图2:VMRay Analyzer—有效负载下载的网络行为用Delphi编写的一个包装器对辅助有效载荷进行模糊处理,在其执行阶段的一个阶段,将其注入到新创建的可执行文件.注入的代码负责通过将VBS脚本放到Windows启动目录中来建立持久性(图3)。VMRay Analyzer检测持久性并自动安排重新启动。旁注在某些情况下,cc防御系统,恶意软件作者可能会试图通过将恶意负载的执行安排在稍后的时间来逃避基于沙盒的监视。VMRay Analyzer确保监视任务调度和持久性(等待重新启动)等方法,并自动安排重新启动,服务器集群可以防御cc吗,ddos防御在哪层,以确保所有可能的恶意行为都已完成。图3:VMRay Analyzer检测执行负载的脚本的持久性(顶部)(底部)此时,MassLogger的实际行为开始可见。它使用各种技术收集有关主机的信息,包括收集操作系统、处理器、视频控制器和防病毒软件的WMI查询(图4)。图4:VMRay函数字符串列表(左)和发现VTI匹配项(右)的摘录下一步,MassLogger试图从各种web浏览器、FTP客户端和电子邮件客户端中窃取信息(图5)。图5:VTI匹配显示凭证窃取尝试。MassLogger也开始记录击键。这个间谍软件安装了一个"WH-KEYBOARD-LL-type"钩子程序,允许它监视键盘输入事件。钩子是一种操作系统特性,它可以使进程拦截系统消息,如警报、进程信息和物理输入。MassLogger收集有关计算机键盘的信息,然后使用钩子记录用户按下的每个键(图6)。图6:显示键盘记录功能的VTI。收集到的信息存储在一个日志文件中(图7),并与屏幕截图一起打包到一个归档文件中,网络安全工具,并通过mail[.]privatemail[.]com发送。MassLogger通过SMTP(简单邮件传输协议)过滤信息。作为此SMTP交换的一部分,高防cdn试用,将与邮件ddos1/49087.html">服务器建立加密的TLS会话(图8)。MassLogger然后通过这个加密安全的通道将窃取的信息发送给攻击者。图7:日志文件的摘录图8:VMRay Analyzer报告中的PCAP–用于数据过滤的初始SMTP通信结论尽管MassLogger被高度混淆,但我们在VMRay Analyzer报告中看到了大量行为指标,这让我们有信心了解攻击的全部范围。IOC公司散列CC4E6E42F73500C72D0820B4A3C131E2F8FCE4D7D730EB8F9FC1B5CC3E882E5caf50c8907738643bd5648927c52306bf9177cb178065d1ee08590a0d37f0c9网络萨迪克吉尔公司67[.]23[.]226[.]159关于VMRay实验室团队VMRay研究团队提供关于恶意软件分析、事件响应和威胁情报的深入技术内容。

版权保护: 本文由 DDOS防御专家 原创,转载请保留链接: /ddos/61144.html

DDoS防御专家简介孤之剑
国内资深白帽子二十人组成员,前BAT资深网络安全工程师,知名网络安全站点板块大神,每年提交Google及微软漏洞,原sina微博负载插件开发者,现在整体防御复合攻击长期接受1-4.7T攻击,CC防护自主开发指纹识别系统,可以做到99.9999%的无敌防御。
  • 文章总数
  • 8151735访问次数
  • 建站天数

    QQ客服

    400-0797-119

    X