DDOS防御专家-提供超强DDoS高防/CC防护/大流量清洗服务!
当前位置:主页 > DDOS防御 > 正文

高防cdn_云盾证书_零元试用

01-12 DDOS防御

高防cdn_云盾证书_零元试用

Ursnif是一组基于相同泄漏源代码的恶意软件家族。完全执行后,Urnsif有能力窃取银行和在线账户凭证。在这篇博文中,我们将分析一个Ursnif样本的有效负载,并演示恶意软件沙盒如何加快调查过程。访问Ursnif的VMRay Analyzer报告这篇博客文章将涵盖一个单一的Ursnif变体的行为分析。它没有提供对网络注入、基础设施或归属的全面见解。其他Ursnif分析见附录D。目录Ursnif示例概述C2检查窃取功能密码货币和磁盘加密Stealer&IESTEALERSystem信息采集数据浏览器中的数据过滤Man浏览器中的Man概览浏览器附件PDY和HTTP/2不同浏览器,不同的钩子Internet Explorer FirefoxChrome提取静态分析模块结论附录A:基于主机的检测和识别指标附录B:本分析中观察到的MITRE ATT&CK技术附录C:哈希附录D:相关工作Ursnif示例概述当Ursnif被下载并运行(比如通过电子邮件中的恶意附件),它首先会产生自己的资源管理器.exe并将自己注入流氓进程中。因为很少有合法的应用程序自己启动资源管理器.exe过程,而且我们无法想到应用程序应该将自身注入到进程中的有效原因,这种技术表面上是检测的一个好指标。新创建的资源管理器.exe然后注入合法的资源管理器.exe流程如下:图1:VMRay过程图显示了注入首字母资源管理器.exe进程将其配置安装在注册表项HKCU\Software\AppDataLow\Software\Microsoft\{Machine specific ID}下,如下所示:图2–正在将配置写入注册表恶意行为发生在注入的内部,而且是合法的,资源管理器.exe进程基于写入配置的内容。示例包括各种类型的凭证窃取、浏览器注入和系统信息收集功能。C2值机柜台Ursnif使用加密的HTTP请求参数通过标准HTTP进行通信。在执行过程中,它执行许多C2签入,如下所示:图3:Urnsif的网络活动在函数日志中,我们可以在加密请求之前将其视为明文:图4:显示未加密HTTP请求的函数日志然后,Ursnif将运行时生成的垃圾参数前置到该请求中,在函数日志中也可见:图5:Ursnif向HTTP请求添加一个垃圾参数此函数完成后,ddoscc攻击防御,参数将被加密并通过HTTP发送到其中一个C2服务器。请求包含各种标识符:软件版本UserServerIDCRCGUID在执行CRC时,参数保持不变。此样本的CRC参数包括:114f9e9114f95d1198d9011e2176此示例利用POST请求上载文件以进行数据过滤,并添加了一个额外的name=X参数,用于指示文件名。窃取功能除了"浏览器中的人"(MitB)攻击外,还发现各种窃取模块也处于活动状态。加密货币+磁盘加密在每个注入的进程中,窃取者检查进程名称是否属于受支持的加密货币钱包、VeraCrypt或TrueCrypt。盗贼还寻找一个包含字符串"JEdudus."的进程,我们无法与实际应用程序匹配,但它在加密货币钱包名称中。图6:检查当前进程名是否包含模块已知的字符串之一stealer模块查找包含以下字符串的加密货币钱包:金银合金比特币多位hdbithermsignaJaxx军械库-奥尔斯蒂勒和伊斯特勒除了加密货币窃取,名为OLSTEALER和IESTEALER的模块也可见。图7:VMRay威胁标识符(VTI)与Ursnif的数据窃取匹配OLSTEALER从Outlook窃取数据,包括登录信息,并将其存储在本地文件中。模块的内部名称在函数日志中可见:图8:在函数日志中可见的OLSTEALER模块名称创建的文件的内容如下所示:图9:OLSTEALER模块创建的用于存储数据的文件IESTEALER模块读取Internet Explorer历史记录和密码。图10–在函数日志中可见的IESTEALER模块名称图11–不同密码窃取尝试的检测和详细信息从Internet Explorer中窃取后,该恶意软件还会查找Thunderbird,不过Thunderbird stealer模块(TBSTEALER)的名称并未明确显示。图12:Ursnif寻找雷鸟数据系统信息收集Ursnif使用内置的Windows系统工具收集有关系统的信息。使用的工具有:系统信息.exe–有关系统的各种信息,包括操作系统版本、安装的修补程序、域和基本硬件信息网络视图–显示网络共享Lookup 127.0.0.1–本地IPtasklist.exe文件/SVC–服务驱动程序查询.exe–已安装的驱动程序(已安装的软件)注册.exe查询"HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall 注册.exe查询"HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall数据渗漏Ursnif将偷来的数据缓存到硬盘上的临时文件中,DDos防御方案有哪些,压缩成CAB文件,然后上传。创建驾驶室的步骤如下:1各种窃取模块在硬盘上创建文件。一些使用%TEMP%目录,另一些使用前面创建的随机目录。图13:VMRay的Behavior选项卡显示临时文件的创建图14:Ursnif模块在它自己的随机命名文件夹中创建文件2在将数据发送回家之前,Ursnif使用makecab工具对其进行压缩。Makecab在使用/F参数调用时能够接受指令文件,该参数定义源和目标。对于需要创建的每个CAB文件,Ursnif会删除一个指令文件。01D51ED4E3ECF92009是OLSTEALER模块的输出。图15:包含OLSTEALER模块输出的文件1FB1.bin包含将01D51ED4E3ECF92009压缩到2855.bin的指令图16:包含makecab指令的文件2855.bin是makecab通过使用指令文件调用它来创建的CAB文件图17:VMRay的Behavior选项卡显示了调用makecab的命令行三。为了将数据发送回家,Ursnif使用相同的C2通道和相同的加密,但是我们分析的变量还添加了一个额外的"name"参数来指示文件名。图18:显示Ursnif添加附加"name"参数的函数日志4与普通签入一样,Ursnif添加了一个垃圾参数(例如uhrg=gbeicj&),然后对参数进行加密。5然后它在POST内容中包含上传的文件来发送文件。浏览器中的人浏览器中人攻击综述许多有价值的用户数据(银行、购物等)不是存储在硬盘或注册表中,而是通过web访问的应用程序.HTTPS现在是常态。用户数据通过安全连接传输,cdn高防ip,因此浏览器外部的中间人(MitM)功能更强大很难。到获取这些有价值的数据,恶意软件就会进入浏览器。打开窗户,浏览器不能很好地保护浏览器不受已经在同一主机上运行的应用程序的影响——对于一个网站来说,利用现代web浏览器并摆脱浏览器沙盒是非常具有挑战性的。也就是说,当攻击者已经在系统通常的目标是一张网注入:特洛伊木马与浏览器在同一主机上运行,注入浏览器,安装API钩子,然后修改API调用以包含攻击者的JavaScript,这是每个网站特有的。图19:VMRay进程图显示了Ursnif向internetexplorer、Firefox和Chrome注入代码SPDY和HTTP/2SPDY(发音为"speedy")是一种网络协议,支持对HTTP传输的数据进行压缩,而HTTP/2是从SPDY派生的具有相同目标的HTTP版本。虽然这两个都不是安全特性,安全狗能防御ddos吗,它们只是实现压缩,但它们仍然会给寻求实现MitB攻击的攻击者带来一些额外的工作。攻击者必须解压HTTP流量,或者干脆关闭SPDY和HTTP/2,大多数攻击者宁愿关闭它们,而不是实现额外的功能。对于防御者来说,进程关闭此功能是一个很好的指标—合法的进程没有理由关闭压缩,但浏览器注入器通常会关闭压缩。乌尔斯尼夫:对于Internet Explorer:将HKCU\\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet设置中的EnablesDy3\u 0值设置为0。对于Chrome:使用--use spdy=off命令行启动Chrome进程争论。为了Firefox:这个示例没有关闭Firefox的SPDY,但是我们观察到其他变体编辑了首选项.jsFirefox中的文件配置文件文件夹,添加以下行:user_pref("network.http.spdy.enabled",错误);类似的方法也可以用于HTTP/2。攻击者可以在Internet Explorer中编辑注册表以禁用,使用Chrome的命令行参数,并编辑首选项.jsFirefox文件。不同的浏览器,不同的钩子沙盒可以在每个进程的"钩子信息"部分报告已安装的钩子。对于每个已安装的钩子,它会显示原始的API,ddos攻击技术与防御方法研究,以及它现在指向的(已经覆盖的)地址。覆盖的地址显示为[最近的符号+偏移量],以便更容易匹配被覆盖的代码。Internet Explorer添加到某些导出函数的钩子wininet.dll是:InternetReadFileInternetWriteFileInternetReadFileExWHttpSendRequestWInternetQueryDataAvailableHttpOpenRequestWInternetCloseHandle图20:VMRay Analyzer显示了有关添加到InternetExplorer的钩子的信息火狐这个特定的样本对攻击没有兴趣

版权保护: 本文由 DDOS防御专家 原创,转载请保留链接: /ddos1/61183.html

DDoS防御专家简介孤之剑
国内资深白帽子二十人组成员,前BAT资深网络安全工程师,知名网络安全站点板块大神,每年提交Google及微软漏洞,原sina微博负载插件开发者,现在整体防御复合攻击长期接受1-4.7T攻击,CC防护自主开发指纹识别系统,可以做到99.9999%的无敌防御。
  • 文章总数
  • 8156840访问次数
  • 建站天数

    QQ客服

    400-0797-119

    X