DDOS防御专家-提供超强DDoS高防/CC防护/大流量清洗服务!
当前位置:主页 > CC防护 > 正文

高防cdn_ddos清洗器_零元试用

01-12 CC防护

高防cdn_ddos清洗器_零元试用

就像一种对传统抗生素产生抗药性的现代超级细菌一样,今天的恶意软件发展迅速,变得越来越复杂。虽然关于恶意软件规避沙盒的能力已经有很多文章,但对于恶意软件作者用来逃避检测的特定技术却鲜有报道。在这篇文章中,VMRay产品经理Rohan Viegas和高级威胁分析师Tamas Boczan和SANS分析师Jake Williams主持的SAN网络广播中,深入探讨了攻击者绕过反病毒和沙盒环境的常用方法,讨论了恶意软件留下的信号,提出了增强检测方法的实用策略。仅仅列入黑名单是不够的独特恶意软件样本的数量在稳步增长。2019年,ddos攻击防御概述,恶意软件总数超过8亿,手动为每个样本编写签名几乎是不可能的。SANS分析师Jake Williams指出,样本数量并不能说明全部情况:"只要重新编译恶意软件就会改变加密哈希,从而使其成为一个‘新’样本。"通过重新编译一个已知的菌株,一个新的时间戳被插入标头,将其呈现为唯一的示例,即使它共享代码。随着恶意软件的数量和包装技术的进步,黑名单样本和部分散列实际上变得毫无用处。"这个这是一场你可能不会赢的比赛,而攻击者知道这一点威廉姆斯。端点和启发式检测随着基于签名的检测工具变得越来越不有效,ddos攻击防御市场,安全团队越来越多地采用端点工具和启发式行为检测功能的组合来识别可疑文件。威廉姆斯概述了其中一些策略,包括:识别二进制和字符串模式查找代码注入检测恶意软件设置持久性(安装以避免重新启动)观察可疑API使用识别LOLBins的连锁使用(已知良好的可执行文件)在这个没完没了的猫捉老鼠游戏中,攻击者同样找到了解决这些方法的聪明方法。例如,硬件防御ddos,Williams指出了一个例子,通过清理内存中的PE头来颠覆检测代码注入的一些启发式方法。启发式检测依赖于对恶意软件通常执行的行为和警报的运行时分析。这里的问题是,许多系统管理工具看起来很像恶意软件,从列出和杀死进程到查询DLL列表。这会引发大量的误报,"威廉姆斯解释道。封隔器和其他旁路技术恶意软件对端点检测工具不可见的一种更常见的方法是使用封隔器。恶意代码打包在容器中,因此原始代码中的签名不再可用于交叉引用和分析。为了防止这种情况,一些防病毒软件供应商试图为解包存根本身创建一个签名。正如Williams所解释的,"我们拥有的是打包机,它有解包存根(这段代码可以将原始代码解压到内存中),而杀毒软件在解包存根上尝试签名,而实际上这里的打包机并没有用来掩盖恶意意图,它被用来保护第三方开发者的知识产权。反病毒软件面临的一个挑战是,这些包装器本身并不总是恶意的,事实上,其中许多都是商业销售的。"除了packers,Williams还概述了目前使用的其他行为检测方法,以及恶意软件作者用来掩盖其恶意意图的一些策略,例如:代码仿真器:许多防病毒引擎使用代码仿真器在恶意执行之前识别恶意代码模式lyprocess Doppelganging:一种特别聪明的端点安全绕过技术,恶意软件加载的二进制文件与通过Land bin(LOLBins)扫描的二进制文件不同:一些恶意软件利用了内置的执行试探性危险的用户模式Rootkit函数的可执行文件:这些工具动态地更改检测工具进行的API调用的结果简而言之,Williams说端点检测正变得越来越困难,关键是,每种检测技术都需要在执行开销和可靠性之间进行权衡。最后,他提醒我们,为什么将检测解决方案分层至关重要:"在研究了单个检测之后,绕过一个检测点很简单,绕过多个检测点要困难得多。"沙箱规避策略在网络研讨会的后半部分,我们将探讨攻击者为避免被发现而采用的一些聪明的策略和解决方法。VMRay的高级威胁分析师塔马斯博赞(tamasboczan)从他的一些研究中提供了一些例子,DDOS防御值什么价格,以证明特定类型的恶意软件是如何在野外应用这些策略的。我们将回避技巧分为三大类:检测沙盒:许多逃避的恶意软件能够通过查询各种硬件特征(如CPU核数、连接的打印机数量等)、评估用户工件(Cookie、浏览历史记录)和检测监控代理来区分分析环境和生产环境他们自己。失败沙盒:一些恶意软件通过绕过沙盒本身来逃避检测,或者通过使用巧妙的时间循环来破坏沙盒,这些时间循环用于超时其执行上下文感知:此外,还有一些恶意软件菌株的行为取决于交互的上下文。例如,服务器防御ddos,恶意软件只有在特定的地理位置才会执行。野外躲避技术VMRay的高级威胁分析师塔马斯·博赞每天都在前线解剖和分析最新的恶意软件,以解析它们如何在网络中导航和交付有效载荷。在这一节的网络直播中,塔马斯展示了四种不同的菌株,并详细介绍了他们为避免被发现而使用的规避技术:BetaBot:BetaBot首次出现在2012年,它来来往往,包含了许多检测功能,包括检测注册表文件、BIOS、用户名和许可证的能力凯斯。甘地蟹:GandCrab是最常见的勒索软件家族,也是塔马斯研究的核心焦点,GandCrab发展迅速,拥有击败沙箱的能力,包括一种称为API锤击的技术来人为地使沙盒.FormBook:一个很受欢迎的信息窃取者,FormBook是一个恶意软件的例子,它既能检测并击败沙盒。它的一个秘密特性在于它能够使用校验和计算来检查字符串的黑名单,从而掩盖了恶意软件所要查找的内容。BrushaLoader:一个相对较新的变体,形式简单,BrushaLoader是一个上下文感知恶意软件的例子。瘦客户端从系统收集数据,并根据服务器端接收到的信息(即地理位置)决定是否向目标主机发送恶意软件。沙盒防御战术最后,我们为配置沙箱提供一些实用建议,以提高检测能力及其识别规避行为的能力:为了避免恶意软件在环境中运行,将不可避免地将代理留在沙箱中进行分析。而是从hypervisor进行外部监控层。模拟您的生产环境:理想情况下,一个有效的沙盒应该尽可能地复制用户的环境。例如,使用随机工件有助于减少沙箱环境的"阶段性"使用多个VPN出口点:防止上下文感知威胁,如地理隔离恶意软件,应该建立多个vpn,以便在不同的地理位置使用不同的出口点,以确保性能:高性能有助于沙箱挫败规避尝试,例如使用GandCrab(主要针对慢速沙箱)之类的API锤击。检测规避本身:一个有效的沙箱应该不会令人惊讶它本身也应该能够检测到规避企图并标记它们。要了解有关这些规避技术的更多信息,请查看完整的网络广播:"隐藏在显而易见的地方:剖析流行的规避恶意软件技术关于Rohan ViegasRohan为VMRay带来了超过12年的产品开发和管理经验。在加入VMRay之前,他曾担任惠普企业(Hewlett-Packard Enterprise)的产品经理,负责管理包括网络管理和安全软件在内的一系列产品。在VMRay,Rohan的职责包括产品路线图规划、项目管理和技术辅助开发。

版权保护: 本文由 DDOS防御专家 原创,转载请保留链接: /ddos/61189.html

DDoS防御专家简介孤之剑
国内资深白帽子二十人组成员,前BAT资深网络安全工程师,知名网络安全站点板块大神,每年提交Google及微软漏洞,原sina微博负载插件开发者,现在整体防御复合攻击长期接受1-4.7T攻击,CC防护自主开发指纹识别系统,可以做到99.9999%的无敌防御。
  • 文章总数
  • 8157594访问次数
  • 建站天数

    QQ客服

    400-0797-119

    X