DDOS防御专家-提供超强DDoS高防/CC防护/大流量清洗服务!
当前位置:主页 > WEB安全 > 正文

香港高防cdn_游戏防cc_方法

01-12 WEB安全

香港高防cdn_游戏防cc_方法

2020年4月,葡萄牙跨国能源巨头葡萄牙能源公司(EDP)的系统被RagnarLocker勒索软件加密。RagnarLocker的运营商要求支付1580比特币(1090万美元)的赎金。根据EDP系统上留下的赎金记录(图1)直接提到了该公司,很明显这是一次有针对性的攻击,低价法国高防cdn,恶意软件作者意图感染EDP。图1:RagnarLocker赎金单特别提到了EDP在这篇博文中,ddos最好的防御方式,我们将通过API监控,通过静态分析和动态分析相结合的方法,对EDP攻击中使用的一个示例进行了详细的研究。VMRay Analyzer的核心功能之一是对被监视进程进行智能内存转储。这使得样本的解包和解密更加容易,同时使用IDA或Ghidra等工具增强和加速静态分析。在这个分析中,智能内存转储为我们提供了已经解密的字符串/黑名单,这些字符串/黑名单在静态分析期间是直接可见的。它还为我们提供了随后作为加密过程一部分使用的生成密钥。查看RagnarLocker勒索软件的VMRay Analyzer报告在任何恶意活动开始之前,RagnarLocker会检查主机的区域设置,如果该区域设置在硬编码列表中,则会终止。从列表(图2)中,我们可以看到,它覆盖了独联体国家,并添加了一些内容。图2:VMRay函数日志描述了区域设置的比较。如果它发现自己运行在与此列表无关的计算机上,则会通过为主机创建唯一标识符来启动其恶意活动。为此,示例查询计算机名、用户名、MachineGuid注册表项和ProductName注册表项。它将数据连接在一起,对其进行编码,并分别对每个值进行编码。然后将其打印到缓冲区(图3)。图3:生成唯一id的算法。RagnarLocker首先验证它是否是用命令行参数启动的。如果不是这样的话,勒索软件会用上面提到的唯一ID创建一个事件(图4)。如果事件已经存在,例如勒索软件已经感染了受害者,则进程将终止,不再进一步感染。先前生成的唯一ID可能被用作疫苗接种的一种形式。图4:RagnarLocker使用ID创建一个唯一事件。RagnarLocker确保尽可能多的驱动器和卷作为目标。即使标记为只读或脱机的磁盘也不会被备用。它枚举物理硬盘,打开一个读写句柄。如果成功,它将通过发送I/O控制代码来设置磁盘设备的属性。其中一个控制代码:IOCTL_DISK_SET_DISK_ATTRIBUTES接受指向SET_DISK_ATTRIBUTES类型的缓冲区的指针。通过将attributes成员设置为disk_ATTRIBUTE_OFFLINE或disk_ATTRIBUTE_READ ONLY或两者的组合,ddos防御在哪层,可以更改磁盘设备的属性。AttributesMask成员然后指定要更改的属性(使用与属性相同的标志)。RagnarLocker使用DISK_ATTRIBUTE_OFFLINE和DISK_ATTRIBUTE_READ_ONLY掩码的组合,以确保它针对找到的任何脱机和/或只读磁盘。通过重置每个磁盘设备的磁盘属性(即使属性成员为0),它将删除脱机和只读标志(图5),然后它将能够加密它找到的所有磁盘设备上的文件。随后,它发出IOCTL_DISK_UPDATE_PROPERTIES控制代码,linux集群ddos防御,以同步它更新的每个磁盘设备的系统视图。设置磁盘属性结构typedef struct\u SET_DISK_属性{DWORD版本;布尔持久化;字节保留1[3];德沃德龙属性;德沃德龙属性任务;DWORD保留2[4];}设置磁盘属性,*PSET磁盘属性;图5:发送IOCTL代码来重置磁盘属性。发送数据的十六进制转储。然后,ddos防御教学,RagnarLocker遍历所有卷并检索卷路径名(即驱动器号和装入的文件夹路径)。如果没有与卷关联的驱动器号或装入路径,它会尝试将此卷装载到下一个可用的驱动器号(图6)。此方法还用于确保它找到的所有卷都可以作为加密的目标。图6:RagnarLocker验证是否已装入所有卷。在验证所有可用卷是否已装入或已装入后,它使用SHA512算法(图7)生成对称加密密钥,这些密钥将在文件加密过程中使用。密钥生成步骤如下:使用CryptGenRandom函数生成一定数量的X字节。初始化SHA512上下文。用64字节的硬编码数据更新SHA512。使用步骤1中生成的X字节更新SHA512。完成SHA512。图7:密钥生成算法和密钥常量。密钥生成之后是对黑名单服务和进程列表的解密。用于解密的算法是带有64字节密钥的RC4(图8)。在对列表进行解密之后,它遍历所有服务,将它们的名称与其内部列表进行比较(图9)。如果找到匹配项并且服务当前正在运行,则终止它们。要停止正在运行的服务和所有依赖的服务,它使用ControlService函数,并将控制代码设置为service_control_stop。图8:RC4键。图9:查找黑名单服务。RagnarLocker终止的服务列表:服务列表sql语言记忆mepocs公司索福斯维亚姆备份普尔斯韦洛格梅罗格明连接方式远程桌面mysql数据库Dfs此外,所有进程都会根据解密列表进行枚举和测试。为此,RagnarLocker循环遍历进程列表,每次获取所有进程的快照,并将快照中的每个进程与硬编码列表中的一个进程进行比较。如果找到匹配项,则进程终止(图10)。图10:显示过程枚举和比较的函数日志。下表包括RagnarLocker正在查找的进程的列表:工艺列表sql语言mysql数据库维亚姆神谕开放式固态硬盘dbsnmp公司同步时间agntsvc公司isqlplussvcxfssvccon公司我的桌面服务自动升级encsvc公司火狐tbirdconfigmydesktopqos奥康姆德本50SQB核心服务擅长infopathmsaccess(访问)mspub公司电子记事本见解动力输出蒸汽蝙蝠雷鸟视觉winword公司写字板教育2 IMS班吉贝尼特斯beserver公司pvlsvr贝雷莫VxLockdownServer博士后FD主机WSSADMIN公司wsstracing公司OWS计时器dfssvc.exedfsrs.exe文件swc公司_服务.exe索福斯SavaAdminService公司SavService.exe文件下一步,它确保删除所有卷影副本,以便文件无法恢复。它首先禁用文件系统重定向,然后创建两个新进程(wmic和vssadmin),它们负责删除卷影副本(图11),然后重新启用文件系统重定向。图11:删除卷影副本。此时,RagnarLocker开始解密它的赎金单。首先,它解密威胁参与者的公钥(使用RC4),该公钥封装在CRT_public_key_INFO结构中。算法标识符表明它是RSA密钥。它稍后使用CryptImportPublicKeyInfo函数导入。此密钥用于加密先前生成的密钥。接下来,它解密赎金通知的内容(使用RC4),将公钥附加到使用CryptBinaryToStringA转换成字符串的公钥,并将其写入文件(图12)。文件名由字符串"RGNR_u"与由计算机名生成的值串联而成。图12:RagnarLocker解密它的赎金笔记并将其放到多个目录中。用于加密文件的扩展名是使用与勒索注释相同的方法生成的,但是它没有使用"RGNR_u",而是使用了"ragnar_u"(图13)。要加密文件,RagnarLocker从它能找到的最后一个驱动器号开始,如果不是CD-ROM,它就开始加密。加密函数迭代给定卷中的所有文件,并将它们与目录和文件白名单进行比较。如果当前文件/目录在白名单上,则继续枚举。如果目录上的加密函数不是在目录上递归调用的/new。图13:RagnarLocker加密文件扩展名。RagnarLocker还忽略某些文件和扩展名。在这些被忽略的文件中,还有一张先前丢弃的赎金纸条。下表列出了被忽略的目录、文件和扩展名:忽略的目录忽略的文件忽略的扩展"窗口""Windows.旧版""Tor浏览器""Internet Explorer""谷歌""歌剧""Opera软件""Mozilla""Mozilla Firefox""$回收站""程序数据""所有用户""自动运行""启动.ini""bootfont.bin""bootsect.bak""启动管理器""启动管理器.efi""bootmgfw.efi""新欢乐时光""iconcache.db网站""ntldr""ntuser.dat公司""ntuser.dat.log日志""ntuser.ini文件""拇指.db"".db"".sys系统"".dll"".lnk"".msi"".drv"".exe"文件的加密也会在末尾附加一个文件标记(图14)。图14:附加到加密文件末尾的文件标记。受害者被告知如何在赎金单中付款(图15)。他们需要通过他们的实时聊天联系,并等待进一步的指示。还应该指出的是,RagnarLocker正紧跟最近勒索软件的趋势,威胁说,如果不支付赎金,他将公布受害者的机密信息。在葡萄牙能源公司(Energias de Portugal)遭受攻击的案例中,RagnarLocker的运营商声称窃取了超过10 TB的公司敏感文件,并威胁说,除非支付赎金,否则将泄露所有被盗数据。图15:RagnarLocker赎金单的一部分IOC公司样品:C2BD70495630ED8279DE0713A010E55F3DA29323B59EF71401B12942BA52F6关于Mateusz LukaszewskiMateusz是VMRay实验室团队的成员。他的主要职责包括调查新的规避技术、编写YARA规则以及提供详细的恶意软件分析以改进VMRay分析器。

版权保护: 本文由 DDOS防御专家 原创,转载请保留链接: /web/61151.html

DDoS防御专家简介孤之剑
国内资深白帽子二十人组成员,前BAT资深网络安全工程师,知名网络安全站点板块大神,每年提交Google及微软漏洞,原sina微博负载插件开发者,现在整体防御复合攻击长期接受1-4.7T攻击,CC防护自主开发指纹识别系统,可以做到99.9999%的无敌防御。
  • 文章总数
  • 8152746访问次数
  • 建站天数

    QQ客服

    400-0797-119

    X