DDOS防御专家-提供超强DDoS高防/CC防护/大流量清洗服务!
当前位置:主页 > DDOS防御 > 正文

云防护_服务器防断电设备_怎么防

11-09 DDOS防御

云防护_服务器防断电设备_怎么防

感谢SophosLabs的Graham Chantry,他的研究和分析构成了本文的核心。当你想到广泛使用的编程语言时,你可能会想出一个心智列表,比如C、C++、java和JavaScript。但是微软的VBA,或者说visualbasicforapplications,也应该在上面,因为它有着广泛的流行。VBA是一种现代方言的BASIC,原汁原味的易于学习和使用的编程语言,对初学者和专家都一样。它内置在许多Microsoft应用程序中,尤其是Microsoft Office的组件中。你可以在你自己的文档和电子表格中使用它来完成各种自动化任务,因此它是一种编程语言,会计师和审计人员以及软件工程师和系统管理员都可能使用它。当然,一旦你把VBA代码添加到Word文档中,这个文件就不再是那么多无害的数据了,因为它里面有一个基本程序。然而,那些不想打开通过电子邮件接收到的.EXE文件(可执行程序)的用户可能会很好地打开.DOC和.DOCX文件(Word文档),即使是意外的文件也可能包含同样意外的VBA程序。鹅和鹅可悲的是,对鹅有利的东西——会计师、审计师、软件工程师、系统管理员等等的办公自动化——对雄鹅有利——网络犯罪分子传递的文件恶意软件。事实上,几乎就在一年前,我们曾报道过基于VBA的恶意软件的死灰复燃。我们当时指出的一个问题是,初出茅庐的骗子甚至不必学习VBA,尽管这可能很简单。他们可以下载恶意软件模板:现成编写的VBA代码,其中包含有用的注释,以显示应在何处插入恶意链接,以及如何伪装恶意软件的提示。在过去的几个月里,这些骗子继续大量生产基于模板的VBA恶意软件,每天大约有50到100个新的VBA恶意软件样本出现。通常,VBA恶意软件不是自包含的,而是充当所谓的下载程序。VBA只是在线,连接到一个在骗子控制下的服务器,然后在不询问你的情况下获取一个恶意的.EXE文件。这意味着您永远不会面临接受或打开可执行文件,还是下载并运行程序的决定。你只会遇到一个看起来很无辜的文档,打开它是可以原谅的,30g高防能防御多少ddos攻击,尤其是当你经常接收和处理客户、供应商、同事和其他人发送的文档时。然而,恶意软件编写器最终安装了一个完整的可执行文件,这个恶意程序不仅在您关闭下载程序文档后,ddos防御品牌,甚至在您注销或重新启动时,仍将在后台继续运行。VBA恶意软件的新动向VBA恶意软件罪犯开始多样化,通过切换到不太常见但功能齐全的文档文件格式。骗子们尝试的第一种不寻常的文件类型是office2003xml格式。正如我们今年早些时候所说:我们必须猜测为什么骗子决定恢复这种格式,这可能只是因为它很少被使用,因此通常不与攻击联系在一起。也许,恶意软件作者希望XML类型文件的稀有性意味着一些安全产品无法正确地解构它们。XML恶意软件大量出现,但后来突然消失了,因为犯罪分子转而使用称为MHTML的独立网页格式,偶尔还会出现RTF(富文本格式)甚至PDF文件。除了恢复鲜为人知的文件格式外,骗子们还把重点放在混淆他们的VBA代码上,以隐藏其真实意图。→混淆是一个令人愉快的挑剔的词,意思是"使某些东西变得模糊、不清楚或无法理解的过程"。在编程中,这意味着使用一些技巧,故意掩饰软件的工作原理和功能。您可能希望仅通过模糊处理就可以发出程序是恶意的信号。但是合法的代码编写者经常使用混淆作为他们工作的挡箭牌,特别是对于以类似基本语言发布的软件,这种语言在其他方面很容易阅读和理解。第一个VBA下载器示例以清晰简洁的方式编写,因此即使是最普通的程序员也可以确定他们在哪里"呼叫总部"下载,以及他们对下载的文件做了什么。下载者通常使用以下两种技术之一:调用URLDownloadToFile()系统函数,将URL作为参数。使用XMLHTTP对象,open方法指定URL。值得注意的是,在每种情况下,URL的字符串都是:因此,第一个混淆技巧是通过对字符串内容进行置乱而起作用的。一开始只是将字符串分成若干部分,然后将它们重新连接在一起,之后包括使用Base64对字符串进行编码或使用随机选择的字节对其进行异或运算的方法:在VBA下载程序中,执行速度并不是一个主要问题,因此恶意软件作者开始有意地使代码复杂化,最初是通过添加冗余操作,防御cc软件,后来通过添加对鲜为人知的系统函数的调用或执行无意义的循环。→对于试图模拟恶意软件行为而不让其实际运行的防病毒程序来说,调用不寻常的系统函数可能会很棘手。反病毒引擎需要多少操作系统才能精确模拟才能产生真实的结果?当你阅读文档时,在后台运行的恶意软件函数中,浪费时间的循环并不重要,但当你的防病毒程序正在进行实时扫描以决定是否让你首先打开文件时,循环就显得重要了。最近的样本甚至表明,恶意软件作者一直在使用商业混淆器为他们做这项工作。CrunchCode就是这样一个工具,它是为了保护合法软件开发人员的源代码而编写的,声称它使VBA代码"完全不可读"CrunchCode提供的混淆技术包括重命名变量、对文本字符串进行置乱、删除空格和注释以隐藏程序结构。下载了什么?鉴于在过去12个月里对VBA恶意软件的兴趣和发展,恶意软件行业的一系列参与者已经开始注意到这一点并不奇怪。VBA下载程序首先被广泛用于分发Dridex恶意软件,这是一种试图窃取网上银行用户名和密码的特洛伊木马。然而,近几个月来,像Dyreza和Zbot这样的恶意软件家族,也许最有趣的是,被称为CryptoWall的勒索软件都使用了VBA下载器。CryptoWall对于文件格式的实验并不陌生:我们已经看到它使用可执行文件、JavaScript和诱捕帮助文件。不过,加密墙攻击的一个一致主题是恶意软件到达时的电子邮件,通常声称必须附上发票或求职者的简历(简历)。如果您决定打开附件,您将看到一个非常常见的社会工程技巧,要求您启用宏(Microsoft对嵌入式VBA代码的通用术语)来查看内容:启用宏允许document_open子例程运行。一目了然,代码被模糊处理,难以理解,变量名没有意义,没有缩进:但有一种代码模式在整个示例中似乎是一致的:将随机整数常量赋给随机命名的变量如果将这些变量相加得到的值大于2,则使用第一个变量更改第二个变量如果小于或等于2,则使用三个随机整数更改第二个变量这只是转移注意力的噪音:变量不再被使用,对子程序的最终结果没有影响。我们可以从2015年3月DRI的一个普通的安全代码样本中识别出来。删除无目的的代码,并缩进剩余部分以提高可读性,会显示一个随机命名的函数(这里称为BGFU6Kv3BFgLi1Vry),它似乎具有XMLHTTP下载器的所有特征:但是,字符串会被混淆,并在使用前传递到MN4z8s1zym函数中对其进行解密:传递给MN4z8s1zym函数的数据是十六进制表示法的字节值序列。函数首先循环该字符串,一次两个字符,并附加字符&H(ASCII代码38和72),这就是VBA中十六进制(以16为底)的表示方式。每个十六进制对都被转换成它所表示的ASCII字符,这些转换后的值在一个字符串中累积并返回。事实上,通过对MN4z8s1zym的引用可以发现,ddos防御服务g一月6元,它的输出总是作为函数K3eK9VdclC的第一个参数,以及第二个文本字符串。为了进一步挫败分析,K3eK9VdclC也被严重混淆,但在清理它使其清晰易读之后,我们得到:对密码学感兴趣的目光敏锐的读者会认出这段代码,这是一种著名的加密算法RC4的实现。→避免现实生活中的RC4。它具有诱人的短而简单的实现,并且易于使用,如这里所示,防御ddos免费,几行VBA就足够了。但是RC4密码有无法弥补的缺陷,特别是它随机地对输入进行置乱,但不够随机。某些字节在不同时间出现的频率比其他字节更高,而有决心的攻击者可能能够利用这些偏差来解密没有密钥的加密数据。现在我们知道了用于对文本进行置乱的算法,我们可以自己解读它,因为我们有输入文本和密钥。整理结果,并为可读性添加一些注释,这给了我们一个显而易见的功能:这将创建一个XMLHTTP对象,最后一行,httpObj.send,通过发送一个httpget(download)请求来实现这一切。如果我们运行未经编译的VBA代码,我们可以在XMLHTTP请求被处理后立即使用debugger这个词冻结程序,并浏览一下

版权保护: 本文由 DDOS防御专家 原创,转载请保留链接: /ddos1/51840.html

DDoS防御专家简介孤之剑
国内资深白帽子二十人组成员,前BAT资深网络安全工程师,知名网络安全站点板块大神,每年提交Google及微软漏洞,原sina微博负载插件开发者,现在整体防御复合攻击长期接受1-4.7T攻击,CC防护自主开发指纹识别系统,可以做到99.9999%的无敌防御。
  • 文章总数
  • 6983530访问次数
  • 建站天数

    QQ客服

    400-0797-119

    X