DDOS防御专家-提供超强DDoS高防/CC防护/大流量清洗服务!
当前位置:主页 > DDOS防御 > 正文

香港高防服务器_棋牌游戏高防_原理

01-12 DDOS防御

香港高防服务器_棋牌游戏高防_原理

这个博客中的内容是基于我的目标Sea talk"基于Hypervisor的macOS恶意软件分析"。你可以在这里访问我的演示文稿中的幻灯片。日益严重的威胁和工具的缺乏与Windows相比,macOS只占所有恶意软件的一小部分,但这种威胁正在增长。Malwarebytes报告称,2018年第四季度Mac特定恶意软件的数量增长了62%,新的攻击方法不断涌现。尽管针对消费者的威胁正在减少,但针对基础设施和企业的攻击却在增加。与几十年来一直在与恶意软件作斗争的Windows世界的同行相比,寻找能够分析和检测macOS恶意软件的工具的分析师几乎没有选择。存在不同的工具来监视macOS进程创建和持久化、文件创建、系统调用等方面,但存在很大的差距:没有工具在函数调用级别通用地跟踪程序。由于现有工具需要在分析环境中运行,因此很容易被恶意软件检测到。目前零散的方法阻碍了自动化,需要高水平的人工干预。此外,针对macOS的少数动态恶意软件分析工具无法满足不断增长的可伸缩性和性能要求。面对这些限制,甚至一些科技巨头(不幸地)依赖于自制的解决方案来内部分析和检测macOS恶意软件。图1:旧的限制,新的要求VMRay Analyzer增加了macOS分析和检测功能VMRay正在进入突破口。借助VMRay Analyzer 3.0版和3.1版中最近的增强功能,我们将macOS动态分析和检测功能添加到我们成熟的平台中。利用深厚的专业知识和多年保护Windows环境的经验,防御ddos攻击系统,3.1版解决了macOS的独特挑战,使研究人员和DFIR团队能够动态分析和检测大规模恶意软件。主要功能包括:自动提交macOS可执行文件、应用程序包和Java文件,以便通过UI或REST API详细功能日志进行分析,全面了解macOS malwareA严重性判决的行为(分数为0到100),cc防御软件linux,基于一个恶意软件样本的行为检测macOS特有的沙盒规避技术和持久性机制详细的网络分析信息YARA规则匹配现在,近了,深了VMRaySoobox是我们现在、近深的体系结构的基础(图2),它将可疑的MACOS恶意软件文件提交到多个级别的审查:快速信誉引擎确定文件是良性的、恶意的还是未知的。静态分析提取潜在有害的活动元素(宏、嵌入的url)动态行为分析全面检查恶意软件活动,以确定威胁的严重性。图2:VMRay的近、深体系结构对恶意软件行为的即时可见性和洞察力沙盒提供了一个隔离的环境,允许执行macOS恶意软件,监视其行为,并为其分配严重性评分,从而使安全生态系统中的其他工具能够对可疑行为做出阻止/允许决策。沙箱-使用无代理的、基于管理程序的方法-在整个分析过程中始终无法检测到,这一特性可以防止恶意软件逃避发现。如下面的图3到6所示,VMRay的自动化、便于分析的报告工具提供了对恶意软件行为的即时洞察,并可以轻松地深入了解。下面的图片摘自对ColdRoot的真实分析,ColdRoot是一种针对macOS的远程访问特洛伊木马。在图3所示的进程视图中,升级并运行命令的coldroo。如你所见,恶意软件伪装成苹果服务来获得持久性,并随后启用了键盘记录和远程桌面访问。图3:过程图提供了恶意软件行为的高级视图深入研究,VMRay分析器生成的函数日志(图4)揭示了哪些API调用负责流程图中描述的某些行为。AuthorizationExecuteWithPrivileges()用于通过辅助功能API启用增强的系统访问,并使用根权限安装持久启动守护程序。//启用辅助功能API[0050.862]AuthorizationExecuteWithPrivileges(authorization=0x539eb0,pathtool="/usr/bin/touch",options=0x0,arguments=([0]="/private/var/db/.AccessibilityAPIEnabled"),communicationsPipe=0x0)返回0//运行脚本,该脚本将向辅助功能数据库[0051.460]AuthorizationExecuteWithPrivileges(authorization=0x539eb0,pathtool="/bin/sh",options=0x0,arguments=([0]="/private/var/tmp)/运行名.sh"), communicationsPipe=0x0)返回0//copy LaunchDaemon definition[0052.844]AuthorizationExecuteWithPrivileges(authorization=0x539eb0,pathtool="/bin/cp",options=0x0,arguments=([0]="/Users/jdoe/Downloads/com.apple.audio.driver2.app/Contents/MacOS/com.apple.audio.驱动器.plist",[1]="/Library/LaunchDaemons"),communicationsPipe=0x0)返回0//加载并启动LaunchDaemon[0053.218]AuthorizationExecuteWithPrivileges(authorization=0x539eb0,pathtool="/bin/launchctl",options=0x0,arguments=([0]="加载",[1]="/Library/LaunchDaemons/com.apple.audio.驱动器.plist"), communicationsPipe=0x0)返回0…[0053.683]AuthorizationExecuteWithPrivileges(授权=0x539eb0,pathtool="/bin/launchctl",options=0x0,arguments=([0]="开始",[1]="/Library/LaunchDaemons/com.apple.audio.驱动器.plist"),communicationsPipe=0x0)返回0图4:功能日志为图片添加了细节(添加了注释)接下来的两个分析日志显示了ColdRoot所做的函数调用:通过安装SLEventTap激活键记录(图5),并使用SLDisplayCreateImage()启用远程桌面访问(图6)。//安装事件抽头(SL==天窗==CoreGraphics)[0034.621]SLEventTapCreate(点击=0x1,place=0x0,选项=0x0,eventsOfInterest=0x1c00,callback=0x6a3d0,userInfo=0x0)返回0x509d50[0034.805]CFMachPortCreateRunLoopSource(分配器=0x0,端口=0x509d50,order=0)返回0x50ff20[0034.805]CFRunLoopGetCurrent()返回0x5123c0[0034.806]CFRunLoopAddSource(rl=0x5123c0,source=0x50ff20,mode="kCFRunLoopCommonModes")[0034.807]SLEventTapEnable(抽头=0x509d50,启用=1)[0034.807]CFRunLoopRun()//按键:获取按键代码[0088.346]SLEventGetIntegerValueField(event=0x53a580,field=0x9)返回36[0088.346]SLEventKeyboardGetUnicodeString(事件=0x53a580,maxStringLength=0xa,实际字符串长度=0xb0579d48,unicodeString=0xb0579d4e)//写入日志[0088.349]打开(path="/private/var/tmp/adobe_日志.log",cc云防御,oflag=9)返回3[0088.350]\uu ioctl(fildes=3,request=0x402c7413)返回-1[0088.350]b复制(src=0x31b704c,dst=0xb0579bc0,len=0xa)[0088.350]u write_nocancel(fildes=3,buf=0xb0579bc0*,nbyte=0xa)返回10[0088.350]\uu close_nocancel(fildes=3)返回0图5:键记录的函数调用(添加了注释)在远程访问的情况下,下面的时间戳显示,ColdRoot首先打开到C2服务器的辅助TCP连接,ddos防御服务器搭建,然后每隔半秒截图一次,并通过新创建的套接字将其发送到C2服务器。请注意,山石防火墙防御内网ddos,一个相当大的缓冲区被传递给第二个send()调用("length=0x3beec"),这表明它可能是一个图像,这可以通过查看发送的数据(如下)得到确认。//使用SkyLight(aka CoreGraphics)[0038.037]SLMainDisplayID()返回0x5b81c5c0[0038.042]SLDisplayCreateImage(displayID=0x5b81c5c0)返回0x53c800[0038.155]cgimagetheight(image=0x53c800)返回0x360[0038.155]cgimagetwidth(image=0x53c800)返回0x480//send to C2[0037.851]socket(domain=2,type=1,protocol=0)返回4[0037.857]connect(sockfd=4,addr=0xb1189df0*(sin_len=0x10,sin_family=0x2,sin_port=0x3419,sin_addr="",addrlen=0x10)返回0[0040.638]send(socket=4,buffer=0x320f028*,length=0x4,flags=0)返回4[0040.640]send(socket=4,buffer=0x35a2d18*,length=0x3beec,flags=0)返回24548400000000 ff d8 ff e0 00 10 4a 46 49 46 00 01 01 00 00 01 | JFIF……| 000000 10 00 01 00 00 ff db 00 43 00 01 01 01 01 01 01 01 01 01 01 01 01 01 | 000000 20 01 01 01 01 01 01 01 01 01 01 01 01 01 01 01 01 01 01 01 01 01 01 01 01 01 01 01 01 01 01 01 01 01 01 01 01 01 01 01 01 01 01 01 01 01 01 01 01 01 01 01 01 01 01 01 01 01 01 01 01 01 01 01 01 01 01 01 01 01 01 01 01 01 01 01 01|图6:远程桌面访问的函数调用(添加了注释)使动态分析全面而有效动态恶意软件分析在许多方面都具有挑战性,VMRay是少数几个掌握这些挑战的提供商之一。VMRay Analyzer的macOS特定功能的基础是三个独立于操作系统的核心特征:在操作系统的每一级都可以看到函数调用,以消除保护主义和透明度,以确保分析过程不会被恶意软件检测(和规避)高效和自动化处理大规模的macOS恶意软件威胁,同时最大限度地提高DFIR团队的效率。函数调用的完全可见性通过系统API提供的不同抽象级别,恶意软件可以在任何级别与操作系统交互(参见图7)。动态分析沙盒需要监视所有潜在的错误行为源,从直接的系统调用到高级API调用。否则,它将无法检测到可能造成重大危害的恶意软件。图7:监视操作系统每一级上的恶意软件行为VMRay与其他大多数动态分析平台不同,它提供了全面的可视性。函数调用在可能的最高抽象级别被自动拦截。通过保留高级语义,VMRay简化了行为分析。此外,最小化被拦截的呼叫数量可以提高效率。隔离和透明需要隔离恶意软件进行动态分析

版权保护: 本文由 DDOS防御专家 原创,转载请保留链接: /ddos1/61180.html

DDoS防御专家简介孤之剑
国内资深白帽子二十人组成员,前BAT资深网络安全工程师,知名网络安全站点板块大神,每年提交Google及微软漏洞,原sina微博负载插件开发者,现在整体防御复合攻击长期接受1-4.7T攻击,CC防护自主开发指纹识别系统,可以做到99.9999%的无敌防御。
  • 文章总数
  • 8156187访问次数
  • 建站天数

    QQ客服

    400-0797-119

    X