DDOS防御专家-提供超强DDoS高防/CC防护/大流量清洗服务!
当前位置:主页 > CC防护 > 正文

海外高防ip_云盾瓷砖_快速接入

01-12 CC防护

海外高防ip_云盾瓷砖_快速接入

欢迎使用VMRay恶意软件分析报告摘要。我们的研究团队每个月都会提供发布到VMRay Twitter帐户上的恶意软件分析报告的摘要。去年10月,我们的团队分析了一个Word文档,使用沙盒规避技术,通过动态数据交换执行外壳代码,并将NotPetya重新命名为BadRabbit。单击下面的链接可跳转到特定报告。Word文档。丢弃上下文感知负载EXE文件,执行一个用AutoIt编写的模糊脚本可以访问密码和数据无宏Word文档。使用DDE执行Powershell并下载DLLRTF文件。使用CVE-2017-8759漏洞攻击来执行代码从BadRabbit勒索软件攻击中使用的伪Flash安装程序执行的特权内核代码报告名称:Word Doc。丢弃上下文感知负载发布日期:2017年9月25日SHA256:2F031C6EB15CF2CA7855375D8BFE4D7A3B9B7BA95DC7D23E80F29B3D424A8CA我们已经看到许多社会工程技术被用来诱骗最终用户在Office文档中启用宏。此分析使用相同的策略,ddos防御怎么解释,诱使最终用户启用宏以查看内容(图1)。图1:用于在worddoc中启用宏的社会工程技术。如果启用宏,则下载并执行恶意可执行文件(图2)。图2:下载并执行恶意可执行文件在图3中,此示例通过检测四个不同的沙盒来尝试沙盒规避技术。图3:检测四个不同的沙盒报告名称:EXE文件,执行一个用AutoIt编写的模糊脚本可以访问密码和数据发布日期:2017年10月4日SHA256:9C3648E343B57EBF1FB3FE567DECEB0DA34999899DD56D4E82DD8911C3ADF239D我们对自解压可执行文件(SFX)的分析将命令隐藏在"权力游戏"的法语描述之间(很可能是从维基百科中复制的,ddos攻击与防御,见图3)。文件被提取到临时文件。文件夹并启动一个名为"cih.exe文件包含一个Autoit脚本"cvn nhc"。没有权力的游戏文本,SFX脚本总结如下(图4):图4:SFX脚本AutoIt脚本被混淆(图5),企业怎么防御ddos攻击,注入进程并使用NirSoft软件从internetexplorer中提取密码和浏览历史记录(图6)。图5:模糊的AutoIt脚本图6:试图提取密码和浏览历史记录。报表名称:无宏Word Doc。使用DDE执行Powershell并下载DLL发布日期:2017年10月11日SHA256:D5C27308F50A9C6D8CCD01269CA09A7A13E1615945B8047C4E55C60718E317ESensepost首先报告了一种新的攻击方法,即在不使用宏的情况下,通过动态数据交换(DDE)来执行shell代码。在这个分析中,我们看到microsoftword提示用户允许执行DDE命令(图7)。图7:允许执行DDE命令的用户提示一旦用户单击"是",DDE命令将执行cmd,然后继续执行Powershell。然后,该示例使用Powershell运行恶意DLL(图8)。图8:使用Powershell运行恶意DLL有关这种DDE技术的更多细节,请阅读我们的完整分析博客文章。报告名称:RTF文件。使用CVE-2017-8759漏洞攻击来执行代码发布日期:2017年10月24日SHA256:7A641C8FA1B7A428BF66D235064407AB56D119411FBACA668C8E69696E6729首先由Twitter用户@Jameswt_mht报道。在打开这个Word文档之前,microsoftword提示用户更新一组链接文件(图9)。发生这种情况是因为RTF文档是以更新特定对象的方式修改的(图10)。图9:提示更新链接图10:普通文本编辑器中的原始更新如果用户允许在Word中更新RTF文档,ddos防御工具的设计与实现,Word会尝试下载"图片"。这可以通过命令"INCLUDEPICTURE"在文本视图中看到。这个"图片"引起了怀疑,因为链接只指向一个PHP页面。在VMRay分析器的网络行为报告中,我们可以看到"图片"实际上是从攻击者控制的服务器检索恶意SOAP WSDL定义的有效负载。这还会从攻击者控制的服务器启动HTA脚本文件。图11:HTTP响应1图12:HTTP响应#2HTA脚本启动,然后启动一系列PowerShell脚本。此时,攻击者已完全控制目标计算机。报告名称:从BadRabbit勒索软件攻击中使用的假Flash安装程序执行的特权内核代码发布日期:2017年10月25日SHA256:630325cac09ac3fab908f903e3b00d0dadd5fdaa0875ed8496fcbb97a558d0da10月底,NotPetya勒索软件重新出现在BadRabbit网站上。本质上,这一活动相当于恶意软件作者给旧产品贴上新标签。在这个分析中,恶意软件表现为adobeflash更新,实际上,它是一个包含一些有效负载的滴管。在第一步中,Adobe Flash update执行删除的"信息发布日期"这是勒索软件的主控制器(图13)。图13:Adobe Flash update执行删除的"信息发布日期"过程"信息发布日期"计划重新启动并执行"显示.exe"启动时。"显示.exe"负责主引导记录的修改。进一步分析,DiskCryptor是BadRabbit的一个资源,它被删除为"cscc.dat公司在目标机器上加密文件(图14)。图14:"cscc.dat公司"在目标计算机上删除以加密文件报告的网络行为部分显示了与NotPetya的相似之处。NotPetya和BadRabbit都在本地网络中搜索其他方,以便在其他机器上使用SMB工具执行自己的任务(图15)。图15:在本地网络中搜索BadRabbit在加密文件并在本地网络上传播之后,计划的重新启动将生效,如VTI分数所示(图16)。图16:文件加密后计划重启生效第一次重新引导不会显示"坏兔子"启动消息,因为显示.exe"开始覆盖主引导记录。然后需要第二次重新引导以显示"BadRabbit"引导消息。总之,巴德兔并没有什么特别新鲜的东西。恶意软件的作者拼凑了来自开源磁盘加密程序NotPetya的部分,以及一些附加的免费软件,创建了一个粘在一起的恶意软件。关于VMRay实验室团队VMRay研究团队提供关于恶意软件分析、事件响应和威胁情报的深入技术内容。

,ddos的攻击机制和防御措施

版权保护: 本文由 DDOS防御专家 原创,转载请保留链接: /ddos/61222.html

DDoS防御专家简介孤之剑
国内资深白帽子二十人组成员,前BAT资深网络安全工程师,知名网络安全站点板块大神,每年提交Google及微软漏洞,原sina微博负载插件开发者,现在整体防御复合攻击长期接受1-4.7T攻击,CC防护自主开发指纹识别系统,可以做到99.9999%的无敌防御。
  • 文章总数
  • 8161822访问次数
  • 建站天数

    QQ客服

    400-0797-119

    X