DDOS防御专家-提供超强DDoS高防/CC防护/大流量清洗服务!
当前位置:主页 > WEB安全 > 正文

服务器防ddos_服务器防护软件_快速接入

11-08 WEB安全

服务器防ddos_服务器防护软件_快速接入

正如我们在之前关于VPNFilter恶意软件的报告中所提到的,第一阶段的植入依赖于连接到12个硬编码的Photobucket url中的一个,或者连接到Toknowall网站来获取一个经过精心设计的图像,该图像包含命令和控制ddos/13291.html">服务器的IP地址的编码形式。阶段1示例从映像的EXIF元数据中提取地址。使用网络威胁联盟提供的样本,我们用VPNFilter恶意软件感染了具有网络连接存储功能的路由器,并观察了其行为和网络流量数天。我们感染的设备不在Cisco Systems在其报告中公布的受影响设备列表中,防御ddos限制端口,但其行为方式与Cisco原始报告中准确描述的一致。在执行此请求和随后的HTTP请求时,恶意软件使用各种硬编码的用户代理字符串之一,这些字符串不能准确反映请求的操作系统或应用程序来源(来自网络设备本身),并且可能会误导调查人员。然后它开始查询Photobucket和/或Toknowall以获取图像文件。在我们的观察中,受感染的路由器试图以随机的间隔向不同的Photobucket库执行HTTP头部请求。我们还观察到了其中一个仅提供示例的查询ipify.org网站然后从设备中删除自己。奇怪的是,我们运行的示例似乎比其他示例更频繁地查询Photobucket上的某些url。恶意软件作者使用的大多数Photobucket画廊都是以著名的女性艺人的名字命名的,比如詹妮弗·安妮斯顿、莫妮卡·贝鲁奇、阿曼达·塞弗里德或伊娃·格林,不过在某些情况下,这些名字有点拼写错误。经过48小时的连续运行,在我们运行的440多个查询中,有近15%的查询试图连接到eva iu green1 Photobucket gallery;对其余画廊的查询分布更加均匀。诚然,这可能只是我们用来测试的环境中运行的特定样本的结果,伪随机算法的性质,或者我们的恶意软件作者真的很喜欢这个法国女演员谁描绘了凡妮莎艾夫斯的角色在系列便士可怕。恶意软件代码指出,它应该每隔10到19秒查询一次命令和控制服务器地址,但我们发现它对Photobucket上的不同页面执行HTTP HEAD请求的速度慢得多,两次尝试之间的随机延迟为2到20分钟。如果Photobucket的url失败,它会尝试访问Toknowall C2网站,如下所示:(注意:上面的域请求被重定向到livec2ip188.165.218.31。)返回的JPEG包含6个数字作为其EXIF头中的GPS坐标。上面的示例突出显示了这些数字:0x67、0x18、0xFFFFFF4b、0x0E、0x08和0xFFFFFF66。植入物将它们作为十进制数,并分成2个字符串:纬度:"103 24-181"经度:"14 8-154"然后将这些字符串扫描为整数值,并用于计算完整的IP地址:sscanf(纬度,"%d%d%d",&delta1,&oct1,&oct2);sscanf(经度,"%d%d%d",&delta2,&oct3,&num);oct4=num+delta2+180;δ1+=90;δ2+=180;sprintf(IP,防御cc虚拟主机,"%u.%u.%u.%u",oct1+delta1,oct2+delta1,oct3+delta2,oct4);以上数字将转换为217.12.202.40。如上面的流量快照所示,然后立即在端口443上探测该IP。在调查过程中,我们收集了一些图片从livephotobucket网址和Toknowall C2网站。所有这些消息都包含一个隐藏的IP地址,例如91.200.13.76、91.121.109.209、94.242.222.68和前面提到的217.12.202.40:如果恶意软件无法联系Photobucket的url或Toknowall C2网站(在我们写这篇文章时,这些网站都是离线的),那么植入程序就会求助于备份方法,如下所述。监听插座VPNFilter通过使用system call调用所有套接字函数,该调用使用int 0x80中断:sys\u socketcall proc附近...mov eax,102;"socketcall"内景80小时sys\u socketcall()接受一个参数,该参数指定需要调用的套接字函数。例如,为了接收数据,sys_socketcall()被传递给sys_RECVFROM(12)。要创建套接字,请使用sys\u socketcall()参数调用sys\u socketcall():系统插座程序近...系统插座呼叫系统插座呼叫VPNFilter首先创建一个包套接字侦听器,它可以嗅探所有以太网帧,其中包括各种IP包:sock_raw=系统套接字(PF_PACKET,sock_raw,htons(ETH_P_ALL));哪里:PF峎PACKET和SOCK_RAW指定了一个"PACKET"套接字类型,如何大家ddos防御系统,这是Linux中绕过内核网络堆栈的一个非常强大的特性要接受的以太网帧类型被设置为ETH_PĔALL,这意味着将接收所有协议包这意味着VPNFilter可以起到WireShark网络数据包记录软件的作用,即对通过受损设备的任何流量进行全球网络监听。bot从以下位置获取外部IP:?格式=json在这个截图中,VPNFilter恶意软件(标记为"sample_06")在受感染路由器的进程列表中运行,同时,网络套接字被打开api.ipify.com网站(50.19.229.252)。在此之后,它设置一个未来时间,定义为从当前时间起5到10小时的随机周期:随机=PRNG();未来时间=系统时间(0)+随机%18000+18000;一旦达到上述定义的时间,恶意软件将在监听套接字上接收数据,并将其放入1500字节长的缓冲区:num=sys_recvfrom(sock_原始,buf_1500,1500,0,0,0);对接收到的数据进行扫描,以确保它包含的IP地址与使用api.ipify.org网站网站。接下来,它检查以确保该数据包含标记0x2B22150C,如Cisco的原始报告中所述。一旦完成健全性检查,恶意软件将检索第二阶段c2ip。如果成功检索到第二阶段有效载荷,恶意软件将关闭侦听套接字,植入程序将执行有效载荷。否则,它将保持侦听状态,从而在新数据到达之前阻塞代码流。证书颁发机构根证书我们还发现,一些恶意软件样本至少包含两个嵌入的证书颁发机构根证书。这些证书具有异常长的10年有效期,并不是由证书颁发机构合法颁发的,不限域名高防cdn,在操作系统中查看时,它们被适当地标记为不可信。样本中嵌入的假CA根证书错误地声称它是由Microsoft颁发的:那么为什么要嵌入CA根证书呢?最可能的原因是,从理论上讲,恶意软件可以使用这些证书对流经受感染设备的SSL或TLS通信进行中间人解密。当您考虑到恶意软件具有记录所有网络流量的功能时,似乎有理由假设恶意软件运营商希望MITM敏感流量,而不仅仅是纯HTTP。潜在破坏性有效载荷思科的原始报告,在联邦调查局关于恶意软件的公开通知中,提到了一种潜在的破坏性有效载荷,能够"砖块"受感染的设备,有效地使小型办公室和家庭办公室路由器无法工作。但在我们的分析中,我们得出了不同的结论。我们之前在"杀死路由器"的一些示例中描述了"虽然我们之前已经分析过,但我们并不认为这是为了杀死路由器的一些功能而设计的"。也就是说,我们分析的VPNFilter样本确实包含了一个不同的功能(与"kill"命令无关),它操纵MTD(内存技术设备)设备,这些设备是基于NAND或NOR的特殊闪存芯片,用于存储非易失性数据,如引导映像。但是,似乎没有使用此功能。考虑到恶意软件示例中存在它,了解攻击者打算如何使用此函数仍然很重要。此函数的代码通过读取/proc/MTD文件获得MTD列表。输出将列出作为独立设备的MTD分区,例如:cat/程序/mtddev:大小擦除大小名称mtd0:0003000000010000"u形启动"mtd1:0001000000010000"工厂"mtd2:01fb0000 00010000"固件"mtd3:0011115b 00010000"内核"mtd4:01e9eea5 00010000"根目录"接下来,恶意软件会解析列表,查找名称中包含以下字符串之一的分区:"linux""内核""根目录"如果找到这样的MTD分区,它将构建一个设备名,例如"/dev/mtd3"。接下来,它使用sys_open()调用打开MTD设备,并使用参数MEMGETINFO(0x80204D01)通过内核IOCTL系统调用sys_IOCTL()获取其内存信息。MTD的原始内容被保存到一个临时缓冲区中。然后使用MEMUNLOCK(0x40084D06)对MTD段进行重复解锁,并使用IOCTL系统调用的MEMERASE(0x40084D02)参数进行擦除,方法与本文中描述的相同。最后,使用sys\u write()系统调用,用任意数据块覆盖MTD设备。它覆盖MTD的数据块由原始数据组成,最后用提供的数据缓冲区进行修补。也就是说,如果提供的数据缓冲区的大小为MTD,它将覆盖整个MTD。如果它的大小只有MTD的四分之一,那么只有MTD的最后四分之一会被它覆盖。如果提供的数据块足够大并且由零组成,那么MTD分区将被删除,这可能会"阻塞"设备。根据提供的数据,固件可以有效地重新刷新。因此,这个功能很可能被设计成用新的固件重新刷新受损的设备,给它新的功能,比如隐藏的后门。同时,我是否

,国内免费ddos防御

版权保护: 本文由 DDOS防御专家 原创,转载请保留链接: /web/51543.html

DDoS防御专家简介孤之剑
国内资深白帽子二十人组成员,前BAT资深网络安全工程师,知名网络安全站点板块大神,每年提交Google及微软漏洞,原sina微博负载插件开发者,现在整体防御复合攻击长期接受1-4.7T攻击,CC防护自主开发指纹识别系统,可以做到99.9999%的无敌防御。
  • 文章总数
  • 6946320访问次数
  • 建站天数

    QQ客服

    400-0797-119

    X