DDOS防御专家-提供超强DDoS高防/CC防护/大流量清洗服务!
当前位置:主页 > DDOS防御 > 正文

服务器防护_白盾云网盘_如何防

01-13 DDOS防御

服务器防护_白盾云网盘_如何防

恶意软件的一个关键能力是防止或延迟分析,通常通过实现动态恶意软件分析检测和规避。成功后,这会大大增加恶意软件在未被发现、阻止或补救的情况下继续在野外活动的时间。虽然大多数的野外规避技术都相当简单,但也存在一些复杂的检测方法,很难发现,甚至更难防止。简单方法检查注册表中与沙盒相关的已知值。更高级的检查检查特定的CPU寄存器或某些CPU指令的返回值,例如cpuid。最复杂的方法利用定时和类似的硬件相关的旁道。从简单的睡眠回避、使用未知的本机API,到通过rdtsc指令直接访问硬件计数器或涉及特定型号的寄存器。机箱内监控根据特定的分析环境及其底层基础设施,几乎不可能完全防止检测和规避。如果分析器在与被分析的恶意软件相同的权限级别上操作,基本上是没有希望的。不幸的是,现在大多数恶意软件分析程序都是这样,因为它们执行机箱内监视。如果在虚拟环境中安装和使用传统的分析器,情况会变得更糟。与非虚拟化系统相比,标准虚拟机会导致语义、时间相关和环境差异。这些差异很容易被分析的恶意软件检测和/或利用。然而,我们相信虚拟机检测本身变得越来越无关紧要,因为今天生产系统无论是服务器还是工作站都被广泛虚拟化。然而,由机箱内监控直接导致的修改和系统差异仍然非常相关,因为它们是正在进行的分析过程的明确指标。开箱即用监控当从外部进行监测时,情况就完全不同了。没有副作用和文物,可以发现的恶意软件在内部。这样的监控方法称为第三代,如果它被正确地实现,在分析环境中没有任何一个位被修改。因此,恶意软件无法检测分析仪本身。但是,如果检测针对的是虚拟机而不是分析器本身呢?再次重申:我们认为它在今天已经不再那么重要了,但是在某些例外情况下,它对于在虚拟环境中拒绝正确运行的特定恶意软件进行合理的分析是必不可少的。由于VMRay Analyzer是它使用的hypervisor的一个组成部分,ddos的防御带宽,它使得现有的VM检测变得毫无用处:所有的设备id和描述都被它随机化,ddos防御模拟,关键CPU寄存器中的值和关键CPU指令的返回值都被调整,定时器msr和设备I/O计时器都在它的完全控制之下。通过这些方法,VMRay Analyzer有效地隐藏了虚拟环境的存在,并使得检测虚拟机变得非常困难(在大多数情况下是不可能的)。发现VM检测作为此虚拟机监控程序控制的结果,当前流行的恶意软件,如MD5 9437eabf2fe5d32101e3fbf9f6027880(如本文所述)在VMRay中分析时无法检测到虚拟环境。因此,可以快速生成全面而复杂的分析,而无需使用昂贵且不可扩展的裸机。但在VMRay分析器中分析时,不仅恶意软件无法检测到虚拟环境。此外,分析器可以通知VM检测机制,这是一个强大的恶意软件行为特征。以下报告摘要显示了如何查询某些文件名和注册表项以检测是否存在不同的分析器。打开互斥体状态打开_文件|.NPF_NdisWanIp打开|.cv2k1文件打开| C文件:popupkiller.exe打开| C文件:工具执行.exe打开密钥HKEY本地机器系统当前控制集合枚举PCI打开密钥HKEY本地机器硬件描述系统打开|密钥| HKEY|本地_MachineHardwareDeviceMapsCSSCSI端口0Scsi总线0目标Id 0逻辑单元Id 0打开| HKEY|U LOCAL|u MACHINESOFTWAREOracleVirtualBox Guest Additions打开密钥HKEY本地机器软件,ddos防御算法,VMware公司工具打开密钥HKEY本地机器硬件描述系统中央处理器本地计算机系统值读取| HKEY|LOCAL_MACHINEHARDWAREDescriptionSystem | VALUE_name=VideoBiosVersion读取| HKEY|U LOCAL|MACHINEHARDWAREDESCRIPTIONSystemCentralProcessor | VALUE_name=~MHz监控全系统交互大多数动态分析器维护一个已知的与安全相关的api的列表,并相应地监视它们的调用。由于技术限制,可能的监控功能集和总数量受到严格限制。相比之下,VMRay使用的是一种完全不同的方法,并且一般性地监视所分析的恶意软件与其环境之间的所有交互。这将生成一个全面的函数日志,其中包含恶意代码与来宾系统任何其他部分之间的所有转换。它包含所有常规API调用、私有函数调用和直接系统调用。它还包括其他控制流,例如跳过每个API的第一条指令的函数调用。这些未对齐的调用越来越多地被恶意软件用来规避基于挂钩的分析。VMRay监视方法的一个有价值的含义是能够记录所有与字符串相关的函数调用。下面的图包含9437eabf2fe5d32101e3fbf9f6027880的VMRay函数日志摘录。通过查看用作字符串比较例程StrCmpNIW的参数的特定字符串,可以很容易地发现VM检测是如何执行的。平行线:RegOpenKeyExW(in:hKey=0x80000002,lpSubKey="SYSTEMCurrentControlSetEnumPCI",ulOptions=0x0,samDesired=0x20119,phkResult=0x18f910 | out:phkResult=0x18f910*=0xb0)返回0x0RegEnumKeyW(in:hKey=0xb0,dwIndex=0x0,lpName=0x18f80c,cchName=0x64 | out:lpName="venu 1000&DEV_0054&SUBSYS_1F091028&REV_01")返回0x0StrCmpNIW(lpStr1="venu 1000&DEV_0054&SUBSYS_1F091028&REV_01",lpStr2="venu 1ab8",nChar=8)返回-1RegEnumKeyW(in:hKey=0xb0,dwIndex=0x1,lpName=0x18f80c,cchName=0x64 | out:lpName="venu 1002&DEV_515E&SUBSYS_01E61028&REV_02")返回0x0StrCmpNIW(lpStr1="venu1002&DEV_515E&SUBSYS_01E61028&REV_02",lpStr2="venu 1ab8",nChar=8)返回-1RegEnumKeyW(in:hKey=0xb0,dwIndex=0x2,lpName=0x18f80c,CC防御官网,cchName=0x64 | out:lpName="venu 1234&DEV_1111&SUBSYS af4&REV_02")返回0x0StrCmpNIW(lpStr1="venu 1234&DEV_1111&SUBSYS_11001AF4&REV_02",lpStr2="venu 1ab8",nChar=8)返回-1RegEnumKeyW(in:hKey=0xb0,dwIndex=0x3,lpName=0x18f80c,cchName=0x64 | out:lpName="venu 14E4&DEV_1659&SUBSYS_01E61028&REV_11")返回0x0StrCmpNIW(lpStr1="venu 14E4&DEV_1659&SUBSYS_01E61028&REV_11",lpStr2="venu 1ab8",nChar=8)返回-1RegEnumKeyW(in:hKey=0xb0,dwIndex=0x4,lpName=0x18f80c,cchName=0x64 | out:lpName="venu 1AF4&DEV_1000&SUBSYS 00011AF4&REV_00")返回0x0StrCmpNIW(lpStr1="venu 1AF4&DEV_1000&SUBSYS_00011AF4&REV_00",lpStr2="venu 1ab8",nChar=8)返回1…虚拟箱:RegOpenKeyExW(in:hKey=0x80000002,lpSubKey="SYSTEMCurrentControlSetEnumPCI",ulOptions=0x0,samDesired=0x20119,phkResult=0x18f704 | out:phkResult=0x18f704*=0xb0)返回0x0RegEnumKeyW(in:hKey=0xb0,dwIndex=0x0,lpName=0x18f600,cchName=0x64 | out:lpName="venu 1000&DEV_0054&SUBSYS_1F091028&REV_01")返回0x0StrCmpNIW(lpStr1="venu 1000&DEV_0054&SUBSYS_1F091028&REV_01",lpStr2="venu 80ee",nChar=8)返回-1RegEnumKeyW(in:hKey=0xb0,dwIndex=0x1,lpName=0x18f600,cchName=0x64 | out:lpName="venu 1002&DEV_515E&SUBSYS_01E61028&REV_02")返回0x0StrCmpNIW(lpStr1="venu1002&DEV_515E&SUBSYS_01E61028&REV_02",lpStr2="venu 80ee",nChar=8)返回-1…VMWare:RegOpenKeyExW(in:hKey=0x80000002,lpSubKey="SYSTEMCurrentControlSetEnumPCI",ulOptions=0x0,samDesired=0x20119,linux集群ddos防御,phkResult=0x18f6fc | out:phkResult=0x18f6fc*=0xb0)返回0x0RegEnumKeyW(in:hKey=0xb0,dwIndex=0x0,lpName=0x18f5f8,cchName=0x64 | out:lpName="venu 1000&DEV_0054&SUBSYS_1F091028&REV_01")返回0x0StrCmpNIW(lpStr1="venu 1000&DEV_0054&SUBSYS_1F091028&REV_01",lpStr2="venu 15ad",nChar=8)返回-1RegEnumKeyW(in:hKey=0xb0,dwIndex=0x1,lpName=0x18f5f8,cchName=0x64 | out:lpName="venu 1002&DEV_515E&SUBSYS_01E61028&REV_02")返回0x0RegEnumKeyW(in:hKey=0xb0,dwIndex=0x1,lpName=0x18f5f8,cchName=0x64 | out:lpName="venu 1002&DEV_515E&SUBSYS_01E61028&REV_02")返回总之,我们的对手已经远离了VM检测,可以轻松绕过用户或内核模式的监视和分析。通过在hypervisor级别实现动态分析,我们在对付威胁参与者方面占了上风。关于Ralf HundRalf博士于2013年在波鸿鲁尔大学获得计算机科学/信息技术安全博士学位。在他的研究期间,他专注于软件二进制文件的新分析方法,特别是恶意软件。他的研究成果发表在许多领先的学术IT安全会议上,并因杰出的工作而获得多个奖项。此外,拉尔夫还参与了一些沙盒技术的设计和开发。他在恶意软件研究方面拥有超过10年的经验,并在各种学术和工业会议上积极发言。他的特殊兴趣在于虚拟化技术及其在软件分析中的应用。

版权保护: 本文由 DDOS防御专家 原创,转载请保留链接: /ddos1/61281.html

DDoS防御专家简介孤之剑
国内资深白帽子二十人组成员,前BAT资深网络安全工程师,知名网络安全站点板块大神,每年提交Google及微软漏洞,原sina微博负载插件开发者,现在整体防御复合攻击长期接受1-4.7T攻击,CC防护自主开发指纹识别系统,可以做到99.9999%的无敌防御。
  • 文章总数
  • 8169404访问次数
  • 建站天数

    QQ客服

    400-0797-119

    X