DDOS防御专家-提供超强DDoS高防/CC防护/大流量清洗服务!
当前位置:主页 > WEB安全 > 正文

云盾高防采集_ddos防攻击软件_怎么防

11-08 WEB安全

云盾高防采集_ddos防攻击软件_怎么防

Gozi,也称为Ursnif或ISFB,是一种银行特洛伊木马,存在时间很长,目前该木马的多个变种在其源代码泄漏后流传开来。每一个被分发的变种都有有趣的方面,其中Gozi版本3在检测规避领域最引人注目。在这个博客中,我们将讨论goziv3用来绕过端点防御的一些技术。此外,我们还将讨论研究人员如何利用这些规避技术发挥他们的优势,因为他们产生了一个独特的行为模式。戈兹连锁感染goziv3是通过垃圾邮件发布的,垃圾邮件链接到一个恶意文件,比如一个模糊的visualbasic脚本,它充当一个滴管组件。dropper组件下载并执行带有有效数字签名的可执行文件。我们将这个可执行文件称为Gozi加载程序。此加载程序的功能是访问命令和控制(C2)服务器以检索主要的Gozi可执行文件。Gozi背后的威胁参与者试图阻止研究人员与C2交互并获取有效载荷。Gozi攻击者的一种方法是限制服务器端的有效负载传递:只有当请求文件geoLocation的机器的IP地址位于malspam(地理限制)所针对的区域,并且请求在相对于垃圾邮件活动开始的相对较短时间内到达时,Gozi滴管才起作用。这种策略可能会导致较小的感染率,但它避免了研究人员获得有效载荷并针对其编写检测报告的机会。如果受害者的机器获得有效的C2响应,Gozi有效负载将以PowerShell脚本的形式存储在注册表中。这种无文件技术允许Gozi威胁参与者避免传统的静态(磁盘文件)检测。在系统启动时,PowerShell脚本将Gozi worker注入到explorer进程中,此时感染链完成,Gozi再次联系C2服务器。C2服务器这次用组件来响应,这些组件帮助Gozi进行偷钱活动,比如webinjects。存储在Windows注册表中的Gozi有效负载下面将更详细地描述这两个阶段。藏在记忆里当我们看一个goziv3装载机样本时,我们可以看到它受到了封隔器的保护,以避开静态检测。在IDA的图形视图的帮助下,我们可以通过以下调用或跳转到寄存器来解包Gozi加载程序,寄存器通常位于每个图视图的底部。下面的视频演示了如何在一分钟内以IDA的调试模式快速解包加载程序。当我们分析解压Gozi加载器开头的代码时,我们可以注意到第二阶段PE可执行文件被加载到内存中。第二阶段可执行文件的部分已被删除,其他部分已被空字节覆盖。下图显示了第二阶段映射到内存后内存区域的转储。从图像中我们可以看到,"DOS header"已被删除,PE magic值和节名称也已无效。PE头的其他部分,例如编译时间戳仍然存在于内存中。通过执行这些操作,Gozi使得从内存中转储未打包的可执行文件变得更加困难,因为大多数转储工具都会搜索DOS头来确定可执行文件在内存中的映射位置。同时,vb怎么做ddos防御,这种规避技术产生了一种相当独特的内存模式,端点防御解决方案可以在内存扫描期间针对该模式。执行无文件组件第二个目标是加载程序到达服务器的第二个目标。PowerShell脚本使用forfiles.exe文件,一个Windows组件,可被滥用以在另一个可执行文件的(进程)上下文中执行shell指令。使用以下参数执行forfiles可执行文件:对于文件/p C:\Windows\system32/s/C"cmd/C@file-ec BASE_64_ENCODED_COMMAND"/m p*ll.*e其中base64编码的命令解码为:iex(gp'HKCU:\Identities\{4EBA1D2A-127F-6AB1-EE6C-E4061B0483AD}')。S通过使用forfiles可执行文件,Gozi可以规避某些检测机制,ddos防御香港,这些机制部分依赖于持久性条目(例如调度任务)的创建,该条目指向已知的脚本引擎,如PowerShell或MSHTA。同时,启动一个forfiles可执行文件,它的参数是启动PowerShell,目标是评估注册表项的内容作为代码,家庭宽带如何防御ddos攻击,这就形成了一个独特的模式,这种模式足够强大,足以作为威胁阻止。执行的无文件PowerShell脚本将外壳代码加载到内存中,免费高防cdn哪个好,并通过QueueUserAPC注入机制执行所述外壳代码。通过Base64编码,脚本稍微有些模糊,如下图所示:值得注意的是,Base64解码的内容不会一次性传递给"invoke expression(iex)"commandlet进行求值。相反,内容在两次迭代中传递,这可能是有意的,因为它会影响传递到反恶意软件扫描接口(AMSI)进行检查的脚本内容的数量。执行的外壳代码将Gozi worker二进制文件注入到explorer进程中,这将导致在explorer中创建几个新的进程线程。其中一个新创建的线程看起来类似于泄漏的Gozi源代码中的"PipeServerThread"。Gozi源代码Gozi线程代码 摘要在这篇博文中,我们看到了最新版本的Gozi用来绕过防御的一些技巧:保护C2资产无文件持久性修补内存中映射的可执行文件创造性的棒棒糖用法AMSI内容分块Gozi背后的威胁参与者显然有意将最新版本置于监视之下。通过使用上述技术,除了只针对特定的地理位置(GB、IT、AU),SophosLabs数据显示V3的流行率低于V2。重要的是,对于防守方来说,广东高防cdn,上述技术往往是致命弱点,因为它们提供了独特的特征,因此提供了检测机会。检测在Sophos endpoint detection产品中,Gozi恶意软件的组件被报告为以下一个或多个定义:HPmal/戈兹-*Mal/Ursnif-A和-CMal/EncPk AOY公司致谢SophosLabs感谢独立恶意软件猎手JamesWT对绘制本地Gozi版本3活动的贡献。

版权保护: 本文由 DDOS防御专家 原创,转载请保留链接: /web/51382.html

DDoS防御专家简介孤之剑
国内资深白帽子二十人组成员,前BAT资深网络安全工程师,知名网络安全站点板块大神,每年提交Google及微软漏洞,原sina微博负载插件开发者,现在整体防御复合攻击长期接受1-4.7T攻击,CC防护自主开发指纹识别系统,可以做到99.9999%的无敌防御。
  • 文章总数
  • 6925486访问次数
  • 建站天数

    QQ客服

    400-0797-119

    X