DDOS防御专家-提供超强DDoS高防/CC防护/大流量清洗服务!
当前位置:主页 > WEB安全 > 正文

防御ddos_防ddos攻击软件_快速解决

11-08 WEB安全

防御ddos_防ddos攻击软件_快速解决

Emotet恶意软件家族正处于不断演变和变化的状态。每天或每周,恶意软件的创造者和分发者都在改变杀手链中扮演着积极的角色——这是一系列事件,从受害者收到恶意文件附件开始,到受感染的计算机结束。所以不要试图总结出,在我们发表这篇文章五分钟后,可能已经改变了几次的东西,我们只关注其中一个常见的感染媒介-恶意文档文件,以及作者利用这些文档作为出发点在Emotet killchain中精心设计的一些步骤。一个常见的maldoc模板正如我们在上一篇文章中所写的,许多Emotet攻击都是从一封邮件开始的,邮件中可能会附加一个Microsoft Office文档(有时也可能是Adobe PDF文档);或者,该邮件可能链接到一个网站,该网站在单击链接后将Office文档发送给用户。尽管信息安全行业警告用户应谨慎对待通过电子邮件收到的Office文档,但许多用户仍然不知道,诸如Word文档、Excel电子表格、Powerpoint演示文稿或PDF文件等文件可能包含以脚本或宏形式存在的活动内容,这些文件通常是我们通常所指的文件,作为马尔多克。Emotet使用的Office365主题maldoc模板恶意文档被用作恶意软件的传递工具已有一段时间了。用于Emotet传递的maldocs遵循一个模板,该模板旨在诱使受害者禁用microsoftoffice中的安全功能,这些功能本身旨在防止恶意文档造成伤害。许多文档模板明确鼓励受害者关闭Office中的宏脚本阻止功能。追踪杀手链研究人员在一些方面做了很多工作。感染过程可以归结为"运行几个模糊的命令行,直到它调用PowerShell命令下载Emotet可执行文件为止",但当然,问题在于细节。一些Emotet maldocs当受害者打开恶意Word文档时,仅仅打开maldoc可能是不够的,因此提示受害者禁用一个或多个安全功能,这些功能可以防止灾难的发生。接下来发生的事情通常发生在用户看不到的地方,但是这个processexplorer的屏幕截图最能说明问题,高防cdn设备,它显示了典型感染过程的各个阶段。上面截图中的maldoc调用Windows命令shell,命令提示符,游戏服务器防御cc,包含一个冗长但模糊的命令。第一个命令使用三个完全伪造的目录和一个目录遍历技巧,它将脚本导航回硬盘驱动器的根目录,然后向上导航到system32的正确文件夹路径来调用命令提示符再来一次。第二个命令进一步解码部分混淆,并启动第三个命令,该命令反过来执行PowerShell命令。通常,在攻击过程中启动的此类子进程不超过四个,并且当最终脚本尝试按顺序从最终阶段PowerShell脚本中嵌入的每个硬编码有效负载url下载有效负载时,攻击有时需要一分钟才能完成。killchain中使用的脚本的另一个值得注意的方面是,它们类似于俄罗斯的嵌套玩偶的脚本代码,一个脚本解码下一个脚本的一部分,下一个脚本解码下一个脚本的一部分,直到调用下载负载的最终命令为止。下面是一个典型的例子,每个连续的命令都对下一个命令的一部分进行解码,直到最后一个命令调用PowerShell并下载有效负载。猫捉老鼠游戏在我们针对Emotet maldocs进行测试的经验中,只有不到三分之一的网站是活动的,防御cc攻击软件,或者仍然托管有效载荷可执行文件的,这些网站只有几个小时的历史了。许多网站已经被清理、关闭、锁定或停驻,或者以"403禁止"的HTTP代码响应请求。Emotet的运营商与网络托管服务和安全公司玩这种猫捉老鼠的游戏。有效负载url在它们的构造中都遵循一个相似的模式:它们被托管在(通常)一个合法的,但以前被破坏的网站的根级别上。文件名的长度为3到12个随机字母字符。Emotet有效负载url的小样本在少数情况下,邮件消息没有使用Office文档,而是附加了PDF文档。在这些情况下,PDF链接到一个maldoc文件,虚拟主机怎么防御ddos,并且,至少在一些情况下,直接下载Emotet可执行负载,而不需要求助于完整的命令和PowerShell脚本。这些脚本使用了许多技术,经过多年的改进,旨在模糊代码的意图。对所有这些技术的解释不在本分析的范围之内。然而,当你只是想让文件运行时,iis专家cc防御系统,就像我们所做的那样,它的意图本质上是清楚的。致谢SophosLabs的研究人员GaborSzappanos和Felix Weyne对报告的这一部分做出了贡献。

版权保护: 本文由 DDOS防御专家 原创,转载请保留链接: /web/51469.html

DDoS防御专家简介孤之剑
国内资深白帽子二十人组成员,前BAT资深网络安全工程师,知名网络安全站点板块大神,每年提交Google及微软漏洞,原sina微博负载插件开发者,现在整体防御复合攻击长期接受1-4.7T攻击,CC防护自主开发指纹识别系统,可以做到99.9999%的无敌防御。
  • 文章总数
  • 6937073访问次数
  • 建站天数

    QQ客服

    400-0797-119

    X