DDOS防御专家-提供超强DDoS高防/CC防护/大流量清洗服务!
当前位置:主页 > DDOS防御 > 正文

网站安全防护_高铁防松螺丝_限时优惠

01-12 DDOS防御

网站安全防护_高铁防松螺丝_限时优惠

我们最近遇到了一个有趣的恶意Word文档,它使用一个嵌入的Word宏来检测它是否在VM中被打开。如果没有检测到虚拟机,宏将继续尝试下载有效负载(可执行文件)来感染计算机。让我们看看我们的分析,以及VMRay的函数日志如何帮助分析严重混淆的代码,如本文中的宏。著名的infosec评论员SwiftOnSecurity将Word中的"启用内容"按钮称为"感染我的电脑"按钮,正如我们在这里看到的一样。在我们的示例中,使用了一些社会工程来诱使潜在的受害者启用内容,从而允许宏运行,如图1所示:图1——恶意软件作者的一点社会工程如果用户爱上它并启用了内容,则宏会自动启动并触发函数Document_Open()。这会导致运行严重混淆的visualbasic代码,这些代码将检测文档是否在VM中打开,并下载会感染系统的可执行文件。图2–Document_Open()启动模糊宏。分析我们通过将文档上载到VMRay Analyzer开始分析。几分钟后,结果就出来了,毫无疑问是恶意的——VTI(VMRay威胁标识符)的威胁得分为100/100。高分的一个主要原因是有人试图下载一个可执行文件,这对于Word文档来说是非常可疑的行为。图3–分析生成高VTI威胁得分仔细观察这种行为会发现一些有趣的东西。Word宏使用WMI(Windows Management Instrumentation)检测VM的存在。要提取这种行为,我们必须对宏中的visualbasic代码进行反模糊处理。对于分析员来说,这通常是一项艰巨的工作,cc防御平台,但借助VMRay分析提取的函数日志,这项工作就容易得多。此函数日志是在分析运行时创建的。它以纯文本形式包含每个函数调用和相关参数。例如,我们可以在图4中看到函数日志文件中的下载链接。图4–功能日志文件中纯文本恶意下载链接通常,混淆宏的攻击者也会混淆函数调用。为此,他们使用了一个简单的技巧。VisualBasic允许使用函数CreateObject()创建类对象。此函数需要一个字符串作为输入。例如:CreateObject("WScript.Shell)创建一个shell对象。然后,攻击者加密此字符串并在使用时解密。例如,攻击者首先加密字符串"Wscript.Shell"收件人"lhtrWxaHLlSpcG.xS9e.iSkycrB",并将其写入索引"QJnANGYgOwW"处名为"doTNALtI"的列表。从那时起"多纳尔蒂.QJnANGYgOwW"将指向"PcLxShLxSe.iSkycrB"这是解密的"Wscript.Shell". 在下一步中,攻击者为CreateObject()创建一个名为"WkKQhrg04"的子例程,以及一个名为"kFfxtZGj54a"的解密函数的子例程,该函数将解密输入字符串。因此,CreateObject("WScript.Shell)被模糊处理为WkKQhrg04(kFfxtZGj54a(360,多纳尔蒂.QJnANGYgOwW)).这使得重建宏非常困难。图5–CreateObject的模糊处理("WScript.Shell")不过,有了函数日志的帮助,重建也不会像看上去那么困难,我们只需要在函数日志中寻找有意义的字符串和函数。例如,我们熟悉的"Wscript.Shell"将在函数日志中找到,如下所示:CLSIDFromProgIDEx(in:lpszProgID="WScript.Shell",lpclsid=0x2130e0 | out:lpclsid=…))返回0x0根据这些信息,我们解决了kFfxtZGj54a(360,ddos防御用诠释,多纳尔蒂.QJnANGYgOwW)收件人"Wscript.Shell"不用费心解密字符串。可以对宏中的每个混淆字符串执行此操作,以便可以完整地重建visualbasic宏。在执行此操作时,我们发现了一个有趣的嵌入式VM检测例程。虚拟机检测在visualbasic宏开始感染之前,cc攻击防御阿里云,它尝试使用VMDetectionFails方法检测VM环境的存在。如果此方法返回true,则会开始感染。否则宏将停止运行。公共子干管()如果VMDetection失败,则流涕感染其他的错误结束ifVMDetectionFails方法包含三种检测方法,逻辑如下:私有函数VMDetectionFails()为布尔值如果检测01或检测02,则VMDetectionFails=检测03其他的VMDetectionFails=真结束if如果Detection01或Detection02检测到VM,则Detection03决定是否应运行宏。否则,如果Detection01和Detection02没有检测到VM,则该方法返回true。使用WMI检测01第一种检测方法分为两个阶段。第一阶段检查环境变量"USERNAME"是否等于"USER"和"USERDOMAIN"是否等于"HOST"。如果两个值都为真,则触发检测。否则就进入第二阶段。在第二阶段,借助WMI(Windows Management Instrumentation),检测方法调用命令:GetObject("winmgmts:").InstancesOf("Win32计算机系统")。这将使用WMI命令"winmgmts"创建"Win32_ComputerSystem"的实例。此实例包含有关系统的所有信息。现在,检测方法专门查找有关"制造商"和"型号"的信息,并检查它是否包含以下字符串之一:"KVM"、"QEMU"、"RED HAT"、"VIRTUAL"、"VMWARE"、"XEN"。如果是,则检测方法将触发并返回true。使用WMI检测02第二种检测方法也使用WMI。使用以下WMI命令,检测方法将获得所有正在运行的进程的列表:GetObject("winmgmts:").ExecQuery("从Win32进程中选择*")通过此列表,它将检查它是否包含以下过程之一:"小提琴手","PROCEXP","PROCMON","SNORT","SURICATA","WIRESHARK"如果检测方法有匹配项,它将返回true。检测03此检测方法检查字符串"1461591186_usa"是否是文档路径的一部分。如果是,则检测方法返回true,以便开始感染。检查过程如下:InStr(1,callByName(此文档,"路径",2),"1461591186_usa")0我们只能推测作者在这里使用这个特定字符串和测试的意图。结论这个分析表明虚拟机检测也可以嵌入到visualbasic宏中。幸运的是,VMRay分析器环境没有被恶意软件检测到,高防cccdn,ddos云服务器的防御,因此它执行并得到了完整的分析。这可以通过尝试下载"/wp content/plugins/hello123"/word.exe"只有在未检测到VM环境时才会启动。然而,在我们分析的时候,C2(命令和控制)服务器已经关闭,因此下载在任何情况下都不成功。VMRay分析中生成的函数日志是分析严重混淆的word宏的一个非常有用的工具。它可以轻松地重建宏,提供对恶意软件的方法和目标的清晰理解。在Twitter@VMRay上关注我们,以获取未来博客文章的更新。关于Ralf HundRalf博士于2013年在波鸿鲁尔大学获得计算机科学/信息技术安全博士学位。在他的研究期间,他专注于软件二进制文件的新分析方法,特别是恶意软件。他的研究成果发表在许多领先的学术IT安全会议上,并因杰出的工作而获得多个奖项。此外,拉尔夫还参与了一些沙盒技术的设计和开发。他在恶意软件研究方面拥有超过10年的经验,并在各种学术和工业会议上积极发言。他的特殊兴趣在于虚拟化技术及其在软件分析中的应用。

版权保护: 本文由 DDOS防御专家 原创,转载请保留链接: /ddos1/61258.html

DDoS防御专家简介孤之剑
国内资深白帽子二十人组成员,前BAT资深网络安全工程师,知名网络安全站点板块大神,每年提交Google及微软漏洞,原sina微博负载插件开发者,现在整体防御复合攻击长期接受1-4.7T攻击,CC防护自主开发指纹识别系统,可以做到99.9999%的无敌防御。
  • 文章总数
  • 8166096访问次数
  • 建站天数

    QQ客服

    400-0797-119

    X