DDOS防御专家-提供超强DDoS高防/CC防护/大流量清洗服务!
当前位置:主页 > WEB安全 > 正文

ddos防火墙_香港高防服务器首推科森网络_优惠券

01-12 WEB安全

ddos防火墙_香港高防服务器首推科森网络_优惠券

重新审视旧问题Formbook是一个著名的恶意软件家族,包括数据窃取者和表单抓取者。自2016年初以来,在黑客论坛上以"恶意软件即服务"的形式出售,本地高防和cdn,任何有意向的人都可以购买订阅并使用Formbook工具。它通常使用包含恶意附件的恶意垃圾邮件进行分发,其影响范围和影响是全球性的。Formbook使用先进的技术来篡改自动分析,这使得它成为一个持续的、反复出现的威胁,需要重新审视。查看Formbook的VMRay Analyzer报告(2020年9月)表格分析我们首先从规避技术开始分析,接着是注入模式,最后是Formbook的数据窃取行为。规避技术Formbook使用多种技术来避免自动分析和调试(图1)。再加上一个规避封隔器,它有相当全面的方法可供使用。我们可以观察到,免费ddos防御墙,打包程序使用CheckRemoteDebuggerPresent和IsDebuggerPresent函数调用检测附加的调试器。它还尝试检测VirtualBox和VMware。如果检查通过,则提取实际有效负载。否则,执行将停止,服务器集群可以防御cc吗,进程在资源管理器.exe注射。有效负载通过使用NtQuerySystemInformation函数检测用户模式和内核模式调试器,分别使用SYSTEM_INFORMATION_类ProcessDebugPort(0x7)和SystemKernelDebuggerInformation(0x23)(图1)。图1:VMRay Analyzer–触发了有关反VM的VTI规则。分析人员通常将样本重命名为他们的哈希值,这样的哈希值通常为32个字符或更长。Formbook使用的另一种规避方法是验证示例名称的长度是否少于32个字符(图2)图2:VMRay Analyzer—成功规避的过程概述。VMRay Analyzer能够检测是否使用散列而不是名称,并允许用户生成随机名称(图3)。图3:VMRay Analyzer—检测哈希作为文件名为了避开依赖钩子的沙箱行为监控,Formbook使用了一种作者称之为Lagos岛方法的技术。这些沙盒通常在本机dll导出的函数上建立挂钩(ntdll.dll)截获控制流并记录行为。不再使用由已经加载的ntdll导出的API函数(可以包含钩子),而是从文件系统手动映射一个新副本并使用它的函数。注入模式Formbook使用从Windows内置工具启动的进程来隐藏自己。我们注意到它用于实现迁移的常用模式(图4.1)。首先,过程6向资源管理器.exe使用函数NtOpenProcess、NtCreateSection和NtMapViewOfSection的组合(图5)。随后,通过劫持进程7来执行注入的代码资源管理器的主线程。这个注入的代码通过创建一个新的C:\\Windows\\SysWOW64进程开始执行\\netsh.exe文件它是一个Windows工具。完成后,工序6采用与工序7相同的注射方法,ddos软件防御,资源管理器,以映射自身并迁移到进程8netsh.exe文件(图4.2)。因此,Formbook的最后一个阶段是流程8。图4.1:VMRay分析仪-过程图图4.2:VMRay Analyzer—主机行为图5:VMRay Analyzer–显示注入到资源管理器.键盘记录和偷窃Formbook通过在注入的进程中挂接API函数来拦截Windows消息传递系统,从而允许它监视击键(图6)。图6:VMRay Analyzer–有关进程7的钩子信息Formbook获取桌面屏幕截图,并从多个应用程序中获取存储在系统上的凭据(图7):图7:VMRay Analyzer—数据窃取然后将这些文件写入%appData%的子目录中的单独日志文件中。为了窃取浏览器的凭据,免费高防国外cdn,Formbook复制数据库并使用winsqlite3提取存储的信息。结论正如我们所看到的,Formbook使用了各种各样的规避策略来避免被发现。这个样本还配备了一个包装器,它有自己的人工环境检测能力来扩展整个特征集。但是,使用VMRay Analyzer可以很好地理解和分析这个示例中的注入模式。当Formbook的规避方法没有检测到环境时(Analyzer对大多数形式的恶意软件是看不见的),它的数据窃取能力会立即被观察者看到。IOC公司样品72cca77c38132f30a09c57d24815d52ec3d5bb48c19415f52b7a38190b92d17f关于VMRay实验室团队VMRay研究团队提供关于恶意软件分析、事件响应和威胁情报的深入技术内容。

版权保护: 本文由 DDOS防御专家 原创,转载请保留链接: /web/61136.html

DDoS防御专家简介孤之剑
国内资深白帽子二十人组成员,前BAT资深网络安全工程师,知名网络安全站点板块大神,每年提交Google及微软漏洞,原sina微博负载插件开发者,现在整体防御复合攻击长期接受1-4.7T攻击,CC防护自主开发指纹识别系统,可以做到99.9999%的无敌防御。
  • 文章总数
  • 8150735访问次数
  • 建站天数

    QQ客服

    400-0797-119

    X