DDOS防御专家-提供超强DDoS高防/CC防护/大流量清洗服务!
当前位置:主页 > DDOS防御 > 正文

cdn防护_美国高防御服务器_方法

01-12 DDOS防御

cdn防护_美国高防御服务器_方法

沙箱规避技术博客系列底漆|第2部分|第4部分这篇文章是关于当今恶意软件使用的沙箱规避技术系列文章的第三部分。我们最初发布了一篇入门文章,概述了恶意软件作者的三大类规避技术:沙盒检测:检测沙盒的存在(检测时只显示良性行为模式)开发沙箱缺口:利用沙箱技术或生态系统中的弱点或差距上下文感知恶意软件:使用基于时间/事件/环境的触发器(在沙盒分析期间未激活)我们写道,使用恶意软件分析沙箱作为对付先进、持续性威胁的灵丹妙药,在十多年前就开始流行起来了。那时,恶意软件的作者已经找到了一些方法来逃避基于静态分析的工具(例如传统的杀毒软件产品),使用多态性、变形、加密、模糊处理和反反转保护等技术。进行基于行为检测的恶意软件分析沙盒现在被认为是抵御高级威胁的最后一层。显然,基于行为的恶意软件检测只有在观察到的文件在其分析过程中实际执行恶意操作时才有效。无论出于什么原因,如果在分析过程中没有执行有害操作,沙盒将得出结论,即正在检查的文件是良性的。在本系列的第二部分中,我们深入研究了恶意软件如何直接检测沙盒环境的存在。在这篇文章中,我们将研究恶意软件如何利用沙箱环境中的漏洞,而不是显式地检测沙箱的存在。利用沙盒技术的弱点在分析过程中,显式搜索沙盒的存在会被检测为可疑活动。因此,一种更先进的恶意软件方法利用沙盒技术中的弱点来执行操作而不会被检测到。通过利用这些沙盒弱点,恶意软件不必担心被检测到,即使它是在沙盒系统中执行的。一些技术包括:蒙蔽监视器大多数沙盒都是在客户机监控中进行的,也就是说,它们将代码、进程、钩子等放在分析环境中。如果这些修改被撤销或规避,沙盒将被屏蔽——换句话说,对所分析环境的可见性将丢失。这种盲法可以采取以下形式:吊钩拆除钩子可以通过恢复原始指令或数据来移除钩子规避通过使用直接的系统调用(而不是api)、调用私有函数(没有钩住)或执行未对齐的函数调用(跳过"钩子代码")可以绕过钩子。我们可以在这个分析报告中看到这样一个例子,其中非法API的使用被恶意软件启动并危害资源管理器.exe以及regedit.exe检测到。虽然这个问题可以通过这些特定内部函数的钩子来解决,但在操作系统中有许多这样的函数,游戏cc防御,并且它们随Windows版本的不同而变化。此外,无法通过挂接来充分解决未对齐函数调用的问题。图。1: 恶意软件使用非法API来逃避检测系统文件替换:钩子通常驻留在映射到内存的系统文件中。一些恶意软件将取消映射这些文件并重新加载它们。新加载的文件版本将被"取消挂接"内核代码。许多沙盒无法监视内核代码或系统的引导过程:模糊的文件格式:许多沙盒不支持所有文件格式Powershell、.hta、.dzip等是一些文件格式的示例,这些文件格式可能会在沙盒环境中错过并无法执行。许多沙盒并不支持所有技术。虽然初始感染向量(例如,ddos防御软防御,带有宏的Word文档)可能会打开,宏在沙盒中运行,但宏将下载并运行一个有效负载,该负载使用了隐藏在分析中的模糊技术。COM、Ruby、ActiveX、JAVA是我们在以前的博客文章中分析过的一些例子。操作系统重新启动:许多沙盒无法在重新启动后生存。有些系统试图通过重新登录用户来模拟重新启动,但是,这可以被检测到,并不是所有重新启动的触发器都执行。破坏生态系统通过简单地压倒目标分析环境,ddos防御器,恶意软件也可以避免使用这种粗糙但有时有效的方法进行分析。例如,有些沙盒只支持特定大小的文件,例如10 MB其他不支持多个压缩层光照黑暗为了确保恶意软件无法逃避这些方法的分析,沙盒分析环境应:不依赖于修改目标环境。特别是,沙盒分析的一种常见方法是挂接。钩子(注入的用户模式或内核级驱动程序,监视和拦截API调用和其他恶意软件活动)的存在使恶意软件有机会禁用分析。运行黄金图像作为目标分析环境。为了提高效率和方便,小米路由器防御ddos,许多沙箱都采用了"一刀切"的方法。所有分析都使用单一类型的目标环境。更好的方法是使用实际的gold映像(即,企业使用的标准和服务器操作系统以及应用程序配置)作为目标环境。这样,您就可以放心,任何针对您的企业并可能在您的桌面或服务器上运行的恶意软件也将在分析环境中运行。监视所有与恶意软件相关的活动,而不考虑应用程序或格式。一些沙盒分析程序,特别是那些使用基于挂钩的方法的沙盒分析程序,为了高效地确定监视的活动,ddos攻击的检测与防御研究,采取了捷径和折衷。这会留下盲点。VMRay基于hypervisor的监视方法可以适应所有这些场景。当与使用真实虚拟机映像作为目标分析机器结合使用时,VMRay Analyzer将提供恶意软件活动的完全可见性,而不管恶意软件试图混淆其意图。参考文献:端口:https://kb.vmware.com/selfservice/microsites/search.do?language=en_US&cmd=displayKC&externalId=1009458https://www.blackhat.com/docs/asia-14/materials/Li/asia-14-Li-Comprehensive-Virtual-Appliance-Detection.pdf打破沙盒:https://www.exploit-db.com/docs/34591.pdfhttps://www.brokenbrowser.com/detecting-apps-mimetype-malware/https://www.symantec.com/avcenter/reference/Virtual_Machine_威胁.pdf显示监视器失明的分析报告https://blogs.forcepoint.com/security-labs/locky-returned-new-anti-vm-trickhttps://www.vmray.com/blog/sandbox-evasion-with-com-by-malware-in-the-wild/https://www.vmray.com/blog/analysis-ruby-malware/https://www.vmray.com/blog/malware-uses-java-archive-jar/https://www.vmray.com/blog/malicious-word-doc-uses-activex-infect/关于Carsten WillemsCarsten博士是CWSandbox的最初开发者,CWSandbox是第一个商业恶意软件沙箱系统之一,后来改名为GFI sandbox和Threat Analyzer。他是创建动态恶意软件分析和检测企业软件的先驱,也是这一领域全球领先的专家之一。他于2013年在波鸿鲁尔大学获得计算机科学/信息技术安全博士学位,如今在恶意软件研究和软件设计方面拥有超过20年的经验。卡斯滕创立了几家公司,指导过许多网络安全初创公司,并定期出席学术和行业会议。他与联合创始人兼CTO Ralf Hund一起开发了独特的基于虚拟机监控程序的威胁检测技术,这是VMRay Analyzer的基础。

版权保护: 本文由 DDOS防御专家 原创,转载请保留链接: /ddos1/61250.html

DDoS防御专家简介孤之剑
国内资深白帽子二十人组成员,前BAT资深网络安全工程师,知名网络安全站点板块大神,每年提交Google及微软漏洞,原sina微博负载插件开发者,现在整体防御复合攻击长期接受1-4.7T攻击,CC防护自主开发指纹识别系统,可以做到99.9999%的无敌防御。
  • 文章总数
  • 8165088访问次数
  • 建站天数

    QQ客服

    400-0797-119

    X