DDOS防御专家-提供超强DDoS高防/CC防护/大流量清洗服务!
当前位置:主页 > 高防服务器 > 正文

高防_高防云服务器_免费测试

高防_高防云服务器_免费测试

如今,恶意软件作者面临的挑战更多的是创造力,而不是深刻的技术理解。有很多好的木马构建工具在那里,服务器虚拟ip防御ddos,使工作更容易。但一旦作者完成了创作,最大的挑战就是如何将成品带给受害者。现在,在Word中嵌入恶意软件已是司空见惯的事了。通常,这是以宏的形式由"启用内容"功能启动,也称为"请感染我的机器"功能。恶意软件作者已经采取了下一个合乎逻辑的步骤,使用PDF文档作为起点。PDF不仅仅是一个固定可读的文档。它有更多的功能,如绘图和创建表单。对于恶意软件作者来说,重要的是,PDF文档可以解释Javascript。让我们看看恶意软件分析,作者创建了一个嵌入JavaScript的PDF文档,linux下ddos防御,该文档使用嵌入的VBScript创建一个microsoftword文档来执行Jaff勒索软件。Jaff勒索软件分析上传无辜的表情后"纳米.pdf"向VMRay分析器发送文件时,我们得到了一个非常高的VTI(VMRay威胁标识符)分数:100/100。为了理解为什么分数如此之高,我们从查看VTI信息开始。图1:Jaff勒索软件VTI得分100/100第二个条目暗示了博客标题已经暗示的:"重命名多个用户文件"。这是一个加密尝试的指标。我们肯定在处理勒索软件。但它是如何工作的呢?PDF文档无法像可执行文件一样运行。在VMRay Analyzer报告中,我们可以返回到overview页面并查看进程图。图2:Jaff勒索软件流程图这向我们展示了打开PDF文档时的一种全新行为。首先,打开纳米.pdf文件时,Acrobat Reader进程"acrord32.exe"启动并加载PDF。然后弹出一条消息,要求打开一个文件"EQV6A.docm"。此消息警告我们不要打开此文件,因为它可能会危害我们的计算机。图3:PDF想要打开一个文件这是因为PDF文档有一个嵌入的JavaScript,它在打开文档时启动。图4:PDF对象显示了打开的操作此对象表示:在"OpenAction"上启动JavaScript函数"subsible()"。在"subscribe()"函数中是一个引用"exportDataObject"的函数"abc"。这将获取参数cName:"EQV6A.docm"和nLaunch:"2"。nLaunch值"2"指示Acrobat将文件附件保存到临时文件中,然后要求操作系统打开它。如果操作系统没有与该文件类型关联的程序来打开导出的文件,padavan如何防御ddos,则会发生错误。var dis=2;abc'exportDataObject[];功能潜艇(){abc公司({cName:"EQV6A.docm",nLaunch:dis});};图5:PDF中嵌入的Javascript无论如何,VMRay Analyzer已经决定打开此文件,然后启动Word进程"winword.exe文件以加载"EQV6A.docm"文件。图6:Word–吸引用户启用内容的社会工程从这里我们可以很容易地猜测接下来会发生什么。没错,visualbasic宏启动并从hxxp://babil117.com/f87346b,也作为VTI信息中的第三个条目记录,并显示在分组行为部分中。图7:下载可执行文件下载后,防御ddos架构设计,visualbasic宏启动可执行文件,然后生成进程图中显示的新子进程"pitupi20.exe"。这是最恶意的部分,vps防御ddos程序,因为过了一段时间后,"pitupi20.exe"会创建文本和HTML文件,并直接提示下一步会发生什么。图8:Jaff勒索软件解密系统"Jaff解密系统"名副其实,并给每个加密文件加上后缀".Jaff"。图9:Jpg文件的后缀".jaff"结论一个非常有创意的恶意软件的构造在这个分析中被展示出来。恶意软件作者创建了一个包含嵌入JavaScript和嵌入Word文档的PDF文档。PDF文档启动嵌入的Word文档,然后启动visualbasic宏来下载并执行"jaff解密系统"(勒索软件)。这是相当于俄罗斯Matryoshka玩偶的恶意软件。但所有这些创造性的包装并不能帮助它避开VMRay分析器。查看完整的Jaff勒索软件分析报告工具书类https://www.vmray.com/blog/video-analysising-malicious-microsoft-word-document/https://www.vmray.com/blog/word-macro-detects-vm-environments/https://www.vmray.com/blog/custom-threat-scoring-vti/https://en.wikipedia.org/wiki/Matryoshka_娃娃https://www.vmray.com/analysis/5692617/report/overview.html 关于Julius Sewing Julius Sewing是VMRay的恶意软件研究人员,拥有应用计算机科学学位。他还在德国波鸿鲁尔大学攻读IT安全硕士学位。Julius的职责包括调查恶意软件使用的新的感染和规避技术。在业余时间,朱利叶斯喜欢喝咖啡,分析恶意软件或计算机软件,喜欢攀岩。

版权保护: 本文由 DDOS防御专家 原创,转载请保留链接: /ddos/61234.html

DDoS防御专家简介孤之剑
国内资深白帽子二十人组成员,前BAT资深网络安全工程师,知名网络安全站点板块大神,每年提交Google及微软漏洞,原sina微博负载插件开发者,现在整体防御复合攻击长期接受1-4.7T攻击,CC防护自主开发指纹识别系统,可以做到99.9999%的无敌防御。
  • 文章总数
  • 8162990访问次数
  • 建站天数

    QQ客服

    400-0797-119

    X