DDOS防御专家-提供超强DDoS高防/CC防护/大流量清洗服务!
当前位置:主页 > 高防服务器 > 正文

高防ip_国外高防服务器_打不死

高防ip_国外高防服务器_打不死

根据微软2016年的威胁情报报告,98%的Office目标威胁使用宏。那么,linux防御ddos攻击方法,我们不应该把精力集中在检测利用宏的威胁上吗?当然不是。攻击者会不断创新。对于攻击者来说,找到绕过现有安全解决方案并使恶意软件易于执行的方法是首要任务。利用漏洞攻击是实现代码执行的一种好方法,但对于大多数攻击者来说,它们的技术含量太高,难以实现,购买成本也太高。不太常见的文件类型提供了易于攻击者使用的传递方法,不需要受害者执行太多操作,而且还可以逃避检测。如果文件类型尚未被恶意软件广泛使用,那么安全产品很有可能对正确分析文件类型的支持有限。一些很少使用的Office文件类型和功能可以用于此目的。在这篇博文中,我们重点介绍了一些技术,这些技术使用了大部分被遗忘的功能,通过microsoftoffice传递恶意软件。通过Microsoft Office传递恶意软件的4种技术除了通常的VBA和利用角度外,Office还支持大多数被遗忘的文件类型,并且通常不会在正常环境中使用。如果Excel支持该文件类型(例如IQY、SLK),它将在Windows中显示一个熟悉的Excel图标,从而降低受害者产生怀疑的可能性,并更有可能打开该文件。一旦用Excel打开,滥用DDE(动态数据交换)协议,如果在受害者的机器上启用,就可以轻松地执行代码。使用对象链接和嵌入(OLE)是利用Windows本机支持的文件类型感染用户计算机的常用技术。让受害者打开Word文档比直接打开可执行文件更容易。攻击者的问题是Office 2016默认阻止执行某些文件扩展名。安全研究人员Matt Nelson发现了一种文件类型,即SettingContent ms,它可以执行代码,但在Office中实现的黑名单中却没有,绕过了OLE阻塞功能。另一种滥用Office功能的方法是Word或Excel使用的众所周知但很少使用的启动路径。如果支持的文件放在该文件夹中,则下次启动应用程序时会自动打开该文件。IQY–Excel Web查询SLK–符号链接启动路径嵌入式设置内容ms结论现在让我们看看利用这些交付技术的四个示例。IQY–Excel Web查询查看VMRay Analyzer报告SHA256:CA0DA220F7691059B3174B2DE14BD41DDB96BF3F02A2824B8C103215C7403Cexcelweb查询是简单的文本文件,用于将web内容查询到Excel单元格中。这些文件包含一个URL,在Excel中打开文件后,URL的内容将下载到工作簿中。从那时起,DDE可以轻松地执行代码。Excel已经支持这种文件类型十多年了,但是公开的恶意软件直到5月底才使用它。我们在6月初发表了一份报告,详细介绍了一项新的竞选活动:这个示例本身非常简单,只是一个带有链接的文本文件在里面下载。图1:IQY文件的内容打开文件时,Excel下载2.dat,并将文件内容复制到单元格中。图2:Excel下载下一阶段图3:下载的2.dat文件的内容2.dat的内容以=cmd |开头。这是一个DDE方法,用于简单地执行代码。执行管道后的字符串命令提示符,并将使用PowerShell下载下一阶段(1.dat)。在执行命令之前,Excel中会弹出一个警告。图4:Office 2016警告图5:第二阶段的内容,1.datdat是一个简单的PowerShell下载程序,它下载并执行有缺陷的dammyy RAT。图6:IQY文件下载执行FaultedAmyy过程图SLK–符号链接查看VMRay Analyzer报告SHA256:3d479d661bdf4203f2dcdeaa932c3710ffb4a8edb6b0172a94659452d9c5c7f0SLK文件格式是为在电子表格之间交换信息而设计的。与IQY一样,它是Office支持了10多年的另一种格式,可以与DDE结合,以简单的方式执行代码。虽然文件的内部没有文档记录,但是可以在不理解格式的情况下轻松修改现有的SLK文件,cc防御测试,并且可以进行非官方的文档尝试。对于攻击者来说,实现代码执行的唯一方法就是用动态表达式替换SLK文件中的单元格,比如以"=cmd |"开头的表达式。下面的示例(源代码)使用此技术从联机XSL启动wmic。攻击者可以直接在这里下载有效负载,但是使用subee的"SquiblyTwo"技术,利用WMIC来执行代码。图7:SLK使用自定义电子表格启动wmic。图7:SLK发射WMIC的过程图启动文件夹查看VMRay Analyzer报告SHA256:83B0D7926FB2C5BC0708D920103107E8709D77F2CD2FB5CB7693B2D930378D2打开Word或Excel时,它们会解析某些文件夹以查找文件,并在默认情况下打开它们。这个特性有很好的文档记录,一些组织在默认情况下使用它来打开一个经常使用的模板。恶意软件也可以使用该功能作为持久性机制或沙盒规避技术。技术是简单地将一个文件放入其中一个文件夹中。在下一次启动相关的Office程序之前,不会打开此文件,而沙盒可能不会以自动方式打开。Hexacorn的博客上有一篇关于Office创业之路的好文章。示例示例(源代码)是一个RTF文件,该文件利用Word的公式编辑器漏洞(CVE-2017-11882)将XLS放入扩展名为xlam的默认Excel XLSTART文件夹。图9:删除文件到XLSTART的检测图8:删除XLS的YARA匹配删除的XLS混淆了宏。下次启动Excel时,个人防御ddos,它会打开删除的文件,并执行宏,最后将一个DLL放到APPDATA文件夹中,并将其链接到系统启动时运行。查看已丢弃的XLS的VMRay Analyzer报告。图9:检测掉落的XLS嵌入式设置内容ms查看VMRay Analyzer报告SHA256:3C6A74D216E10E4FF158716CFA72984230995041C4BBB7596B8C8AA461D76C5在内部,SettingContent ms filetype是一个XML,它有一个名为"Deeplink"的标记。deeplink可以指向任何可运行的文件,当文件被打开时,指向的文件将被执行。与Office的连接是,简述ddos防御原理,当打开嵌入在文档中的文档时,防御ddos程序,Office可以禁用或警告不要打开嵌入的文件(如果它们是可执行的)。这个扩展从可执行文件的黑名单中丢失了,所以它绕过了这个安全特性,这意味着用Office文档执行代码要容易得多。在该漏洞被公开披露后,安全研究人员创建了测试样本,其中许多最终以VirusTotal告终。这种方法也被野外的恶意软件使用,丢弃LokiBot。从那时起,它就被广泛用于恶意软件活动中,比如将文件嵌入pdf而不是DOC文件中。VMRay Analyzer检测文件:图10:VMRay Analyzer检测文件结论攻击者不断寻找新的攻击载体。在Office文档中使用宏很容易被检测到,而且由于需要一定的实现技巧,因此不太容易被利用。然而,Office确实提供了许多现在还未使用和被遗忘的功能,这些功能可以用来创建成功的攻击。(重新)发现这些Office功能需要努力和技巧,但是一旦概念证明可用,就有一个窗口可以用很少的技巧创建高效的攻击。VMRay Analyzer成功分析和检测使用这些技术的恶意软件。我们在新文件类型出现时主动添加对它们的支持,使攻击者的机会窗口尽可能短。博赞塔马斯博赞塔马斯是VMRay的高级威胁分析师。他负责查找和分析相关的恶意软件样本,并提高VMRay的检测能力。在VMRay之前,Tamas在一家反病毒公司研究规避恶意软件并开发了一个恶意软件分析沙盒。

版权保护: 本文由 DDOS防御专家 原创,转载请保留链接: /ddos/61208.html

DDoS防御专家简介孤之剑
国内资深白帽子二十人组成员,前BAT资深网络安全工程师,知名网络安全站点板块大神,每年提交Google及微软漏洞,原sina微博负载插件开发者,现在整体防御复合攻击长期接受1-4.7T攻击,CC防护自主开发指纹识别系统,可以做到99.9999%的无敌防御。
  • 文章总数
  • 8160035访问次数
  • 建站天数

    QQ客服

    400-0797-119

    X