DDOS防御专家-提供超强DDoS高防/CC防护/大流量清洗服务!
当前位置:主页 > CC防护 > 正文

cdn高防_云防御服务器_无缝切换

01-12 CC防护

cdn高防_云防御服务器_无缝切换

沙箱规避技术博客系列底漆第2部分这是我们今天关于恶意软件使用的沙盒规避技术系列文章的最后一篇文章。我们从入门开始,然后介绍了其他主要的沙盒规避技术:沙盒检测:检测沙盒的存在(检测时只显示良性行为模式)开发沙箱缺口:利用沙箱技术或生态系统中的弱点或差距在本文中,nginx防御cc,我们将深入研究第三大类:上下文感知恶意软件:又称环境敏感恶意软件。使用基于时间/事件/环境的触发器(在沙盒分析期间未激活)使用基于时间、事件和环境的触发器第三种方法,像沙盒漏洞利用,并不试图检测沙盒。它也不试图通过规避沙箱或利用沙箱的弱点来隐藏恶意行为。相反,它会延迟/延迟其恶意负载,直到某个触发器/事件发生。选择的触发器不太可能在沙盒中激活。触发器可分为四类:定时炸弹最常见的技术之一是将执行延迟一定时间,因为沙盒通常只运行样本几分钟。与其他许多规避技术一样,特别是定时炸弹的使用是一个持续的猫捉老鼠的游戏:恶意软件进入休眠状态,沙盒尝试检测睡眠并缩短时间,恶意软件检测缩短的时间,沙盒试图通过更新系统计时器来隐藏前向时间,等等。技术包括:简单到非常复杂的休眠,例如相互监视或相互依赖的并发线程。仅在特定时间或特定日期执行,例如星期一或上午12点或3月12日。显著降低执行速度,例如注入数百万个任意系统调用,这些调用除了减慢执行速度外没有任何效果,尤其是在受监视或模拟的环境中执行时。例如,图1显示了一个Pafish测试,该测试运行分析环境中经常存在的某些工件的VM检测。注意时间戳检查。恶意软件也会运行类似这样的检查,如果在计数器中发现差异,则假设它在分析环境中运行,ddos防御主机,就关闭它。图1:VM检测的Pafish测试,显示了定时检测系统事件只有在关机、重新启动或有人登录或注销时才变为活动状态。图2显示了一个例子,nginx简单防御cc攻击,其中第二阶段的有效负载只有在重新启动之后才会被拉下来。我们可以在VTI评分中看到,一个可执行文件是由恶意软件(初始有效负载)安装的,它将在重新启动后自动运行。正是这个启动过程获取了第二个有效负载。图2:VTI规则匹配-持久性安装系统启动脚本用户交互等待鼠标移动(但不要太快,因为这是一个沙盒)或键盘输入。与某些应用程序交互,哪些方法无法防御ddos攻击,例如浏览器、电子邮件、Skype、网上银行应用程序。假安装程序:恶意软件只有在用户点击多个按钮并选中各种复选框后才会激活(参见图2)。包含恶意嵌入内容的Office文档:只有当用户向下滚动(查看)或单击时,恶意内容才会变为活动内容。图3:恶意软件安装程序,提示用户交互探测特定的目标系统复杂的目标恶意软件只对目标系统有效。标识通常基于当前用户名、时区、键盘布局、IP地址或其他一些系统构件。检查本身可以通过各种方式完成,从简单的方法到非常复杂的方法。简单检查包括字符串检查。如果预期的目标环境未知,则复杂的检查(例如,使用从环境设置中获取的哈希进行解密)几乎无法破解。恶意软件只有在确定它在预期的目标环境中时才会进入第二阶段(下载主负载)。与此相关的是相反的情况,恶意软件检测到环境很可能是人工分析环境。这可能是检查的结果,ddos防御系统是硬件吗,例如:如果系统的网络使用率统计数据太低,那么不要做任何事情如果"最近使用的文档"几乎为空,则不要执行任何操作如果多个进程

版权保护: 本文由 DDOS防御专家 原创,转载请保留链接: /ddos/61249.html

DDoS防御专家简介孤之剑
国内资深白帽子二十人组成员,前BAT资深网络安全工程师,知名网络安全站点板块大神,每年提交Google及微软漏洞,原sina微博负载插件开发者,现在整体防御复合攻击长期接受1-4.7T攻击,CC防护自主开发指纹识别系统,可以做到99.9999%的无敌防御。
  • 文章总数
  • 8164981访问次数
  • 建站天数

    QQ客服

    400-0797-119

    X