DDOS防御专家-提供超强DDoS高防/CC防护/大流量清洗服务!
当前位置:主页 > WEB安全 > 正文

云盾高防采集_香港高防一号_零误杀

01-12 WEB安全

云盾高防采集_香港高防一号_零误杀

如果你已经到了一定的年龄,dns防御ddos,你可能还记得《疯狂》杂志讽刺间谍诉间谍的连环漫画,其中两名特工——一个穿着纯白衣服,另一个穿着黑色衣服——每周都会智取他人,互相残杀。毫无疑问,恶意软件作者和恶意软件研究人员可以联系起来,香港阿里云ddos防御服务器,因为他们也被锁定在一个永久的游戏中,逃避和检测。在这篇文章中,高防cdn代理,VMRay的解决方案工程师Ben Abbott与高级研究分析师Tamas Boczan和威胁研究员Pascal Brackmann一起,详细介绍了恶意软件作者用来逃避沙箱检测的一些创新技术,并通过真实的例子展示了防御者可以采取的步骤缓和这些策略。了解你的敌人"在不影响生产系统的情况下监视可疑文件行为的最佳方法是利用沙盒,然后在受控和监视的环境中执行该文件,"Ben在网络研讨会开始时解释道。任何有经验的恶意软件作者都认识到这一点,必须不断地找出新的方法来避免被发现。安全研究者有必要对规避技术进行分析和解构。Ben补充道,"多年来,VMRay的研究团队已经确定了恶意软件使用的不同沙盒规避技术的集合,我们可以将这些技术分为三大类:检测沙盒、击败沙盒和上下文感知规避技术。"沙盒已经成为非常重要的工具,它不仅可以保护网络和用户免受恶意软件的攻击,还可以帮助我们了解威胁参与者是如何发展自己的技术的。然而,要真正有效,沙箱必须与其他IT工具集成,以关闭反馈循环,并不断改进您的组织如何应对不断变化的威胁环境。检测沙盒恶意软件作者明白,如果他们的有效载荷在沙箱中引爆,他们的有效载荷将在到达时死亡。因此,任何一个有效的恶意软件样本被编程要做的第一件事就是识别阶段性环境的特征信号。正如Ben所解释的,"现在大多数恶意软件都会首先检查它是否在虚拟环境中运行,怎么防御ddos跟cc,因为几乎所有的沙盒都使用虚拟机。It部门还经常检查注册表、MAC地址等信息,以查看它是在裸机上运行还是在虚拟机内运行—我们甚至看到过某些压力检查诸如风扇转速或系统温度之类的属性,以查看是否得到任何反馈,因为如果是在虚拟化环境中,显然不会。"沙盒提高了它们在虚拟化环境中屏蔽的能力。此外,越来越多的公司正在为他们的实时生产环境转向虚拟化环境。"如果你限制了只在裸机上运行,你就要限制恶意软件在其他有效受害者的机器上执行。恶意软件用来检测沙盒的另一个技巧是看它是否在一个不现实的环境中运行,其中一些菌株被编程用于对特定供应商执行检查,如Sandboxie,最近为Windows开发的开源应用程序沙盒程序或Wine兼容性层。恶意软件作者还将执行各种检查,以确定环境是否真实,查看是否连接了USB驱动器或打印机,或者是否存在邮件客户端。VMRay的高级威胁研究员塔玛斯·博赞和威胁研究员帕斯卡·布拉克曼(Pascal Brackmann)通过对Formbook和GuLoader的分析,向我们介绍了恶意软件沙箱检测的真实例子击败沙箱转换到下一类沙箱规避技术,击败沙箱。这类规避利用了许多沙箱或其底层生态系统所使用的监测技术的固有弱点。恶意软件击败沙箱的方法之一是通过一种称为钩子规避或钩子规避的技术。正如Ben所解释的,"钩子规避被恶意软件作者用来检测或移除钩子,或者可以通过未对齐的API调用来规避钩子。"Ben指出的一个著名的钩子规避例子就是开源沙盒规避工具anticuckoo.exe,它能够检测由流行的开源沙盒创建的钩子,以及许多商业化的衍生产品。恶意软件可以使用Anticuckoo中实现的相同技术来找到钩子。在找到钩子之后,恶意软件的一个选择就是回到以前的沙箱规避类别:简单地关闭,因为它检测到了沙箱。但是现在它已经识别出了钩子函数,恶意软件也可以采取更隐蔽的方法:移除钩子,在不受监控的情况下继续执行。恶意软件也可以延迟其执行,因为通常沙箱设置为只运行一小段时间。除了延迟执行之外,恶意软件还可以利用沙盒生态系统的弱点:它可能耗尽硬盘、RAM或CPU资源,或者使用API锤击。然后,Tamas通过另一个真实世界的例子,展示了Formbook如何使用一种常见的钩子规避技术(Formbook的广告称为Lagos岛方法)来击败沙箱。此技术基于手动映射NTDLL的副本,它避免了基于API挂接的监视,而无需手动查找挂接函数。"首先用锤子和锤子"来描述"如何用锤子和锤子来检测他们"的新技术。上下文感知技术本次网络研讨会的最后一部分专门讨论上下文感知技术。正如Ben所解释的,"通过上下文感知,恶意软件作者实际上并不是要检测或击败沙盒本身,而是要确保恶意软件只在特定的环境下或在特定的上下文中运行。"执行此检查的方法之一是通过用户交互:"我们在恶意软件之外看到这种情况的最常见方式可能是通过验证码检查。但这正是恶意软件可以利用这样的功能对付我们的地方……恶意软件在执行之前可以以多种不同的方式执行这些类型的检查,我们甚至看到过恶意软件在寻找类似于人类如何做与机器如何做的抖动鼠标移动的案例。"Ben指出了一些其他的上下文感知技术,免备案高防50g云防cdn,例如查看不同的环境查询,例如检查诸如时区或语言设置之类的本地化设置。在这一点上,Ben强调了确保沙箱对运行环境的真实性的重要性。然后,Tamas使用ursnifdreambot面板的例子,向我们介绍了这些上下文感知功能的另一个真实示例,并展示了它如何使用上下文来确定恶意软件是否在沙盒中运行。要了解更多关于这些规避技术的信息,请观看完整的网络广播:"防御黑暗艺术:剖析沙箱规避技术"额外资源Formbook分析–SANS网络广播回顾:对补救的影响–探索InfoStealer的杀戮链威胁公告:剖析古洛德的躲避技术白皮书:击败规避恶意软件关于VMRay实验室团队VMRay研究团队提供关于恶意软件分析、事件响应和威胁情报的深入技术内容。

版权保护: 本文由 DDOS防御专家 原创,转载请保留链接: /web/61143.html

DDoS防御专家简介孤之剑
国内资深白帽子二十人组成员,前BAT资深网络安全工程师,知名网络安全站点板块大神,每年提交Google及微软漏洞,原sina微博负载插件开发者,现在整体防御复合攻击长期接受1-4.7T攻击,CC防护自主开发指纹识别系统,可以做到99.9999%的无敌防御。
  • 文章总数
  • 8151556访问次数
  • 建站天数

    QQ客服

    400-0797-119

    X