DDOS防御专家-提供超强DDoS高防/CC防护/大流量清洗服务!
当前位置:主页 > WEB安全 > 正文

国内高防cdn_高防云盘_零误杀

01-12 WEB安全

国内高防cdn_高防云盘_零误杀

恶意软件家族:Poweliks哈希值SHA256:4727b7ea70d0fc00f96a28de7fa3d97fa9d0b253bd63ae54fbbf0bd0c8b766bb查看完整的Poweliks恶意软件分析报告VMRay Analyzer v2.1中发布的一个关键功能是增强对无文件恶意软件(也称为"非恶意软件")的分析。无文件恶意软件由恶意软件分析专家Lenny Zeltser定义为".在文件系统中不放置恶意可执行文件的情况下运行的恶意软件"。这里的一个重要区别是"可能"存在与无文件恶意软件相关联的文件,它们"可能"修改目标计算机上现有的文件结构。恶意软件作者使用的一种常见方法是实现注册表更改。为了演示VMRay Analyzer对注册表更改的检测,我们将分析一个著名的Poweliks示例。尽管它的命令服务器不再在线,但这个Poweliks示例为研究无文件恶意软件的本质提供了一个很好的机会。Poweliks分析执行时,vb怎么做ddos防御,安装程序创建两个注册表项,其中包含(1)启动代码和(2)已编码的感染第二阶段(请参见图2)。启动代码(图1)基本上由一个JavaScript指令组成,防御cc免费工具,它读取包含第二阶段感染的注册表项,对其进行解码并执行。在执行时,这段代码最终使用Powershell执行另一个阶段(我们将在后面看到)。图1:Windows注册表中存储的启动代码启动存根的一个有趣的事实是恶意软件通过创造性地利用rundll32接口来执行JavaScript代码,正如Stormshield所描述的那样。另一个值得注意的方面是Poweliks对用户隐藏带有存根的注册表项的方式。它是用一个空指针作为它的名称来创建的,这使得使用Windows注册表编辑器(Regedit)无法看到这个条目。但是,VMRay Analyzer监视恶意软件与操作系统之间的完整交互。这样的信息会自动为恶意软件分析员提取出来(参见图2)。图2:Poweliks安装程序监视的与注册表交互的概述坚持不懈如图2所示,启动存根被添加到autostart键HKCU\\software\\microsoft\\windows\\currentversion\\run\,低价法国高防cdn,它在windows启动时自动执行。值得注意的是,重新启动后,完整的执行不再涉及安装程序,从而使其真正无文件。由于VMRay Analyzer可以自动检测样本是否尝试实现持久性,因此它模拟用户启动的重新启动,允许我们在重新启动后查看恶意软件的行为。即使很困难,这个示例也不需要这样做,因为第一次执行是由安装程序引导的,我们可以在流程图(图3)中看到重新启动(节点1)后如何使用rundll32.exe(Node#5)重新启动执行。图3:执行的过程图。重新启动后,Poweliks恶意软件将从Windows注册表自动执行。有效载荷的执行深入查看进程图,我们可以看到第二个执行阶段使用Powershell首先创建dllhost.exe文件进程然后注入并执行实际有效负载。在图4中,我们能够监视整个注入过程,而不必解码相应的注册表项。图4:从dllhost.exe文件过程查看"注射信息"一节,我们可以很容易地获得有关注射的所有相关信息。除了查看函数日志中使用的系统调用之外,我们还可以下载注入的数据。分析这个二进制blob,我们可以看到它由一些数据和一个DLL文件组成,可以用于进一步的分析。图5:注入数据的Hexdump,包括一个WindowsDLL映像结论在这个分析中,高防cccdn,我们能够看到Poweliks恶意软件的执行,以及如何使用Windows注册表以无文件的方式实现持久性。VMRay Analyzer通过加快常见分析任务(如解包和获取分析的附加信息)来支持DFIR专家和恶意软件分析师。查看完整的Poweliks恶意软件分析报告关于Thorsten Eisenhoferet VMRay,Thorsten是恶意软件研究团队的一员。他的职责包括调查恶意软件使用的新的感染和规避技术,并提供详细的恶意软件分析以改进VMRay分析仪。托尔斯滕获得了帕德伯恩大学计算机科学学士学位,ddos攻击防御百度腾讯阿里,目前正在波鸿鲁尔大学攻读硕士学位,主攻系统安全。

版权保护: 本文由 DDOS防御专家 原创,转载请保留链接: /web/61228.html

DDoS防御专家简介孤之剑
国内资深白帽子二十人组成员,前BAT资深网络安全工程师,知名网络安全站点板块大神,每年提交Google及微软漏洞,原sina微博负载插件开发者,现在整体防御复合攻击长期接受1-4.7T攻击,CC防护自主开发指纹识别系统,可以做到99.9999%的无敌防御。
  • 文章总数
  • 8162328访问次数
  • 建站天数

    QQ客服

    400-0797-119

    X