DDOS防御专家-提供超强DDoS高防/CC防护/大流量清洗服务!
当前位置:主页 > 高防服务器 > 正文

阿里云高防ip_上海云盾王晓旭简历_3天试用

阿里云高防ip_上海云盾王晓旭简历_3天试用

使用Ruby解释器规避分析并后门进入目标机器针对解释器运行Ruby脚本的恶意软件可能不是主流,但肯定有很长的渊源,可以追溯到用Ruby编写的Metasploit框架的近十年前。我们现在看到了一种趋势,即使用高级语言而不考虑其缺点(如需要在目标上运行解释器),以便我们最近通过VMRay运行了这样一个恶意软件的样本(MD5 b727b40999396587cf41dcb0e0a65ec0/SHA256 131fa083cb8cd7ed02f48f4fba0f5190ea60d700031c00542c366097b4657463)并得到了一些有趣的结果。尽管这种恶意软件具有明显的恶意性质,但在9月份提交时,57家反病毒供应商中只有32家在VirusTotal上获得了这样的评分。示例文件binb.exe文件在AppData文件夹中创建新目录。使用这个通常隐藏的文件夹可能是恶意软件隐藏功能的一部分。在创建的文件夹中,示例将一个名为绑定.rb安装Ruby解释器,然后可执行文件运行脚本绑定.rb.由于VMRay分析器自动提取创建的文件,我们可以方便地查看启动的脚本。即使一眼就能看出剧本的意图。代码首先使用VirtualAlloc分配可执行内存。将变量FzJnoy中的外壳代码存储到该内存块中。在新的Shell代码执行结束时创建一个线程。这里的分析就不那么简单了。分解前几条指令说明了"Shikata-Ga-Nai"外壳代码编码器/解码器的用法,它通常用于愚弄AV产品。这使得静态分析变得困难,因为我们必须首先为Shikata-Ga-Nai编写一个解码器。然而,极路由ddos攻击防御,使用动态分析,我们可以看到外壳代码的信息函数日志文件。VMRay清楚地显示了外壳代码的意图。该恶意软件加载用于网络连接的ws2_32 dll。初始化网络库后,将打开一个套接字,并在TCP端口10000上安装后门。恶意软件作者忽略了在监听传入连接之前先添加一个允许的防火墙异常。这将导致Windows防火墙发出安全警报。VMRay有一个AutoUI功能,默认情况下它将与对话框交互并提供预期的响应,ddos防御教程,例如在安装程序中"接受"EULA。在这种情况下,会自动确认对话框,以便继续执行而不会遗漏任何行为:总而言之,这个恶意软件利用高级语言解释器(Ruby)来掩盖其意图并逃避分析。它在目标系统上创建一个后门,cc攻击防御代码,侦听TCP端口10000。我们看到更多的恶意软件现在使用更高级的编程语言和模型来逃避静态和动态分析程序。VMRay的技术对所使用的软件机制是不可知的,并自动调整其监视粒度。换句话说,当被分析的软件发出API调用时,VMRay在API级别进行监视;如果它发出直接的系统调用,VMRay将在syscall级别进行监视;如果它调用COM方法调用,VMRay将在COM级别进行监视。因此,不会遗漏任何内容,并且将分析可能的最高语义层,从而生成未稀释的详细报告。关于Ralf HundRalf博士于2013年在波鸿鲁尔大学获得计算机科学/信息技术安全博士学位。在他的研究期间,他专注于软件二进制文件的新分析方法,特别是恶意软件。他的研究成果发表在许多领先的学术IT安全会议上,并因杰出的工作而获得多个奖项。此外,高防御ddos,拉尔夫还参与了一些沙盒技术的设计和开发。他在恶意软件研究方面拥有超过10年的经验,弹性cdn高防,并在各种学术和工业会议上积极发言。他的特殊兴趣在于虚拟化技术及其在软件分析中的应用。

版权保护: 本文由 DDOS防御专家 原创,转载请保留链接: /ddos/61275.html

DDoS防御专家简介孤之剑
国内资深白帽子二十人组成员,前BAT资深网络安全工程师,知名网络安全站点板块大神,每年提交Google及微软漏洞,原sina微博负载插件开发者,现在整体防御复合攻击长期接受1-4.7T攻击,CC防护自主开发指纹识别系统,可以做到99.9999%的无敌防御。
  • 文章总数
  • 8168677访问次数
  • 建站天数

    QQ客服

    400-0797-119

    X