DDOS防御专家-提供超强DDoS高防/CC防护/大流量清洗服务!
当前位置:主页 > CC防护 > 正文

网站防护_国盾云商城下载_优惠券

01-12 CC防护

网站防护_国盾云商城下载_优惠券

查看用于ZeroCleare的VMRay Analyzer报告"ZeroCleare"是ibmx-Force事件响应和情报服务(IRIS)在去年12月发现的一种新的恶意软件。在这份长达28页的报告中,IRIS团队透露,ZeroCleare被用来对中东能源和工业部门的组织实施攻击。根据IRIS小组的分析,他们把这次袭击归咎于伊朗的民族国家对手。ZeroCleare是一款雨刮器,旨在清除感染的电脑硬盘。在这篇博文中,我们将分析ZeroCleare在沙盒(VMRay Analyzer)中的行为。首先,我们知道有效载荷是客户端更新.exe. 但是通过跑步客户端更新.exe首先,我们将看到它尝试加载另一个文件,失败,然后崩溃。那个文件是大豆.exe.我们将提交客户端更新.exe以及大豆.exe作为ZIP文件和客户端更新.exe作为切入点。图1:提交客户端更新.exe& 大豆.exe作为ZIP文件。客户端更新.exe设置为入口点。在VMRay Analyzer报告中,我们在流程图中看到,客户端更新.exe电话大豆.exe要安装RawDisk驱动程序,请在安装完成后控制驱动程序。图2:客户端更新.exe电话大豆.exe安装RawDisk驱动程序图3:YARA检测到的丢弃的RawDisk驱动程序在64位Windows版本中,驱动程序只有经过签名才能加载,这是一种称为驱动程序签名强制(DSE)的安全功能。大豆.exe是开源Turla驱动程序加载器(TDL)的改进版本。TDL是一个绕过DSE的工具,它首先加载一个在2008年发布的、经过签名的、旧的、易受攻击的Virtualbox驱动程序,然后利用它来获得内核模式的代码执行。图4:TDL安装易受攻击的Virtualbox驱动程序TDL利用的漏洞是CVE-2008-3431,服务器cc攻击怎么防御,这是Core Security在2008年发布的一个旧的Virtualbox漏洞。该漏洞是由两个综合问题造成的。首先,驱动程序定义Windows不应该对传入ioctl执行任何输入验证,方法是将transfer类型设置为METHOD_not,而不是通常的缓冲或直接传输类型,其中传入的指针将被验证。这实际上将输入验证的责任从系统转移到了驱动程序。第二个问题是驱动程序本身没有进行任何输入验证。用户模式提供的数据被写入用户模式提供的任何指针,dnspod防御ddos,因此触发write what where条件。为了证明这个问题,核心安全发布了一个POC,它创建了一个死亡蓝屏。后来,APT Turla将POC变成了一个权限提升漏洞,并围绕它创建了一个加载程序。2014年5月,F-Secure在《病毒公报》上发表了对Turla使用的漏洞(包括这一次)的分析。2016年,Turla Driver Loader的反向工程版本被上传到Github,这是一种攻击性工具。这很可能是大豆.exeZeroCleare使用的二进制文件。深入到VMRay Analyzer报告的"Behavior"部分,我们可以看到用于触发Virtualbox漏洞利用的DeviceIoControl调用。该漏洞攻击由五个DeviceIoControl调用组成,TDL在攻击完成并加载恶意驱动程序后使用一个额外的调用进行清理。图5:触发利用漏洞的DeviceIoControl调用。因为VMRay从hypervisor进行监视,所以我们能够看到示例所做的所有内核模式调用。这意味着,对于每个DeviceIoControl调用,我们可以进一步深入查看内核空间中易受攻击的驱动程序如何处理生成的IOCTL,并观察利用漏洞的每个步骤。第一个DeviceIoControl调用使用SUP\u IOCTL\u COOKIE控制代码来创建一个COOKIE来启动与驱动程序的会话。在内核空间中,我们可以看到Virtualbox驱动程序验证cookie是否使用了正确的格式,检查"神奇的单词!"不变的。通过浏览VirtualBox的源代码,我们看到这是字符串SUPCOOKIE_的魔术常量。此时,利用漏洞有一个会话,可以发送进一步的调用。图6:第一个使用SUP_ctl_LDR_LOAD启动会话的DeviceIoControl调用第二个DeviceIoControl调用用于在将存储外壳代码的内核空间中分配内存。为了让驱动程序分配内存,这个IOCTL指示驱动程序在映像不存在的情况下为其分配内存。它由VirtualBox源代码中的函数supdrvIOCtl_LdrOpen实现。在VMRay函数日志中,我们将内存分配看作ExAllocatePoolWithTag调用。此时,该漏洞利用已分配内核空间内存。图7:第二个DeviceIoControl调用使用SUP_ctl_LDR_OPEN在内核空间中分配内存第三个DeviceIoControl调用指示驱动程序将外壳代码复制到分配的内存中。该调用通常用于将VM映像数据复制到内存中,并在Virtualbox中的supdrvIOCtl_LdrLoad函数中实现。由于Virtualbox希望内存缓冲区包含VM映像,因此需要设置一些属性。其中之一是进入虚拟机时Virtualbox将调用的入口点-在利用漏洞攻击时,此入口点应指向外壳代码。此时,利用漏洞的内存中有外壳代码,入口点设置在驱动程序期望的结构中。使用第三个调用内核来加载ShellControl代码第四个DeviceIoControl调用设置下一步将调用其入口点的VM映像。该实现在Virtualbox版本之间发生了变化,但目的是相同的:"设置VM句柄以执行快速调用ioctl。"。为了实现这一点,驱动程序不需要做额外的函数调用,它只需要改变一个变量。现在驱动程序准备好接收需要执行外壳代码的指令。图9:第四个DeviceIoControl调用使用SUP_IOCTL_SET_VM_FOR_FAST设置要执行的VM映像第五个DeviceIoControl调用外壳代码。Virtualbox实现在函数supdrvIOCtlFast中。调用shell代码后,我们看到shell代码分配内存,并从同一内存区域创建名为elRawDsk的驱动程序,名为"elRawDsk"。这是加载的Rawdisk驱动程序。图10:第五个DeviceIoControl调用使用SUP_IOCTL_FAST_DO_NOP调用外壳代码并加载驱动程序不再需要VirtualBox驱动程序,因此加载程序通过删除其服务和驱动程序文件来掩盖其踪迹。图11:VirtualBox的服务和驱动程序被删除要使用Rawdisk驱动程序,ZeroCleare首先打开一个特殊的文件句柄。根据IBM的报告,被ddos攻击怎么防御,hashmark后面的十六进制字符串是用于启动软件的许可证密钥。一次大豆.exe加载驱动程序,客户端更新.exe开始使用它。图12:ZeroCleare打开一个特殊的文件句柄。最后,我们看到ZeroCleare指示Rawdisk驱动程序用垃圾字节块覆盖硬盘驱动器的内容。对于每个DeviceIoControl调用,我们看到恶意软件使用相同的控制代码,但是传递给驱动程序的数据的前几个字节略有不同,可能表示要将随机数据写入的地址。DeviceIoControl调用被反复重复,直到函数最终失败。图13:ZeroCleare指示Rawdisk驱动程序覆盖硬盘驱动器的内容图14:DeviceIoControl使用稍微不同的数据反复调用,直到函数最终失败。函数日志还显示了由内核区的DeviceIoControl代码触发的驱动程序的行为:RawDisk驱动程序使用MmProbeAndLockPages和mmmaplockedpagessspecifycache命令分配一些内存,然后通过调用IoBuildSynchronousFsdRequest和IofCallDriver创建一个IRP并将其发送到硬盘驱动器的驱动程序。图15:Rawdisk驱动程序创建IRP并将其发送到硬盘驱动器的驱动程序总而言之,恶意软件的有效负载是功能性的,51ddos攻击防御,但是对于攻击者来说构建起来非常简单:ZeroCleare使用一个开源项目(TDL)来执行一个商业工具(RawDisk)并擦除磁盘。工具书类IBM:新型破坏性雨刷"零清除"瞄准中东能源行业韦恩·洛在病毒公报,2014年5月:Turla漏洞解剖核心安全:VirtualBox权限提升漏洞hfiref0x:Turla驱动程序加载程序GitHub零清除样本信息的ZIP的VMRay Analyzer报告客户端更新.exe以及大豆.exe客户端更新.exeSHA256:BEC16767ECA340E7486ECA3278E625168ECA3278E625E625E786大豆.exeSHA256:563653399B82CD443F120ECEF836EA3678D4CF11D9B351BB737573C2D856299  博赞塔马斯博赞塔马斯是VMRay的高级威胁分析师。他负责查找和分析相关的恶意软件样本,免费ddos集群防御,并提高VMRay的检测能力。在VMRay之前,Tamas在一家反病毒公司研究规避恶意软件并开发了一个恶意软件分析沙盒。

版权保护: 本文由 DDOS防御专家 原创,转载请保留链接: /ddos/61168.html

DDoS防御专家简介孤之剑
国内资深白帽子二十人组成员,前BAT资深网络安全工程师,知名网络安全站点板块大神,每年提交Google及微软漏洞,原sina微博负载插件开发者,现在整体防御复合攻击长期接受1-4.7T攻击,CC防护自主开发指纹识别系统,可以做到99.9999%的无敌防御。
  • 文章总数
  • 8154590访问次数
  • 建站天数

    QQ客服

    400-0797-119

    X