DDOS防御专家-提供超强DDoS高防/CC防护/大流量清洗服务!
当前位置:主页 > WEB安全 > 正文

cdn防御_山西云盾_零元试用

01-12 WEB安全

cdn防御_山西云盾_零元试用

欢迎使用VMRay恶意软件分析报告摘要。我们的研究团队每个月都会提供发布到VMRay Twitter帐户上的恶意软件分析报告的摘要。去年12月,我们的团队分析了Globeimposter勒索软件(Globeimposter-ransomware)的一个变体,一个Windows脚本文件(WSF)下载一个有效载荷来设置一个服务器来接受传入的连接,以及一个利用CVE-2017-11882漏洞的RTF文档。单击下面的链接可跳转到特定报告:全球海报勒索软件通过Necurs僵尸网络交付WSF下载一个有效负载,它设置一个服务器来接受传入的连接RTF文档利用了CVE-2017-11882漏洞报告名称:通过Necurs僵尸网络发送的全球海报勒索软件发布日期:2017年12月5日SHA256:7A18BFFFD01EEAB08A3F88D35BA5D09106690EA62D01E43D950B6B842AB6C4E76GlobeImporter勒索软件的此变体是由恶意的Visual Basic脚本下载和执行的。这个脚本很可能是由Necurs僵尸网络以电子邮件附件的形式发送的。脚本的第一个操作是联系其C&C(命令和控制服务器)。从报告的网络行为选项卡,我们可以看到C&C位于德克萨斯州休斯顿(图1)。下载有效载荷后,执行GlobeImporter勒索软件。图1网络行为选项卡显示下载负载的C&C然后Globeimposter对用户的文件进行加密,并留下一张带有支付说明的勒索单。赎金便条被称为"Read_ME",放在桌面上(图2)。图2:全球海报勒索单网络罪犯提供对单个文件的免费解密,作为他们拥有有效解密密钥的证据。与其他勒索软件一样,Globeimposter会删除卷影复制服务创建的快照,以便在没有其他备份的情况下,webcc防御办法,用户不太可能恢复加密的文件。报告名称:WSF下载一个有效负载,ddos阿里防御,该负载设置服务器以接受传入连接发布日期:2017年12月13日SHA256:2999babb0c6ca9fcc1aa03ad5606043d70f45a1495820c7a22250a584d371d70Windows脚本文件(WSF)从黑名单URL下载并执行恶意文件(图5)。有效负载使用诸如进程注入(图4)和将其自身写入Windows启动以实现持久性的常用技术。所有检测到的威胁都可以在报告的VTI选项卡中看到(图3)。图3:检测到来自WSF脚本和丢弃的负载的威胁在这个分析中最突出的是它执行几个进程。如图4所示,它添加了Chakmcat.exe保存到Windows启动文件夹中(在重新启动后仍然有效)。恶意软件注入资源管理器.exe以及runtimebroker.exe,在动态端口上启动本地TCP服务器。图4:显示恶意软件注入多个进程的过程图图5:WSF Downloader连接到黑名单的URL以下载有效负载在这篇报道的最初发布之后,ddos防御文章,Twitter用户@markwo回复了我们的Tweet,询问我们为什么显示一个TCP服务器监听端口0。Tcp服务器正在侦听端口0?你抓取绑定的实际动态端口吗?除非端口信息被发送到C2,否则后门似乎很奇怪-Mark Wodrich(@markwo)2017年12月14日这不是不正确的行为。在我们的分析中,您可以看到所有必要的信息:[0082.882]套接字(af=2,type=1,cc防火墙,protocol=0)返回0xd60[0082.882]htonl(hostlong=0x7f000001)返回0x100007f[0082.882]bind(s=0xd60,addr=0x59df808*(sa_family=2,sin_port=0x0,sin_addr="127.0.0.1〃),namelen=16)返回0[0082.882]listen(s=0xd60,backlog=1)返回0[0082.882]套接字(af=2,type=1,protocol=0)返回0x2108[0082.882]getsockname(in:s=0xd60,name=0x59df818,namelen=0x59df800 | out:name=0x59df818*(sa_family=2,家用宽带怎么防御ddos攻击,sin_port=0xc116,sin_addr="127.0.0.1〃),namelen=0x59df800)返回0[0082.882]connect(s=0x2108,name=0x59df818*(sa_family=2,sin_port=0xc116,sin_addr="127.0.0.1〃),namelen=16)返回0bind API调用使用sin_port=0x0,让操作系统从动态客户机端口范围(值介于49152和65535之间)为套接字选择一个适当的端口。稍后,getsocknameapi调用用于获取已分配给该套接字的端口(sin_port=0xc116=49430)。但是作为对@markwo问题的回应,我们更新了我们的报告,以包括操作系统为套接字选择的实际端口,而不是显示"0"。您可以看到下面的更新报告。图6:用实际端口号更新的VTI信息报告名称:RTF文档利用CVE-2017-11882漏洞发布日期:2017年12月20日SHA256:1C0A1A7C695D5E1A7497B7FA4F75CF83F12265EACA297B3D72461D110FCB079CVE-2017-11882漏洞利用了Microsoft Office(Microsoft公式编辑器)17年前的组件。图7中的过程图显示了由RTF文档使用的公式编辑器(eqnedt32.exe)。方程式编辑器对攻击者来说是一个有吸引力的过程,因为CVE-2017-11882很容易被利用,因为公式编辑器中缺少启用的漏洞攻击缓解措施,如ASLR和DEP。图7:RTF文档利用的公式编辑器(eqnedt32.exe)RTF文档的有效负载使用典型的恶意软件技术(如进程注入和反分析)来尝试检测附加的调试器,如VTI选项卡中的Detected Threats部分所示(图8)。该漏洞的外壳代码下载已知的恶意文件(lambdoidtegument.exe),删除它,然后执行它。图7:RTF文档下载并执行已知的恶意文件(lambdoidtegument.exe)关于VMRay实验室团队VMRay研究团队提供关于恶意软件分析、事件响应和威胁情报的深入技术内容。

版权保护: 本文由 DDOS防御专家 原创,转载请保留链接: /web/61218.html

DDoS防御专家简介孤之剑
国内资深白帽子二十人组成员,前BAT资深网络安全工程师,知名网络安全站点板块大神,每年提交Google及微软漏洞,原sina微博负载插件开发者,现在整体防御复合攻击长期接受1-4.7T攻击,CC防护自主开发指纹识别系统,可以做到99.9999%的无敌防御。
  • 文章总数
  • 8161283访问次数
  • 建站天数

    QQ客服

    400-0797-119

    X