DDOS防御专家-提供超强DDoS高防/CC防护/大流量清洗服务!
当前位置:主页 > WEB安全 > 正文

服务器防ddos_游戏盾源码_3天试用

01-12 WEB安全

服务器防ddos_游戏盾源码_3天试用

恶意软件家族:(不是)Petya哈希值SHA256:027cc450ef5f8c5f653329641ec1fed91f694e0d229928963b30f6b0d7d3a745查看完整的Petya分析报告根据Peta/Notya软件公司最初的攻击,也被称为Peta/Notya的软件开发商。我们仔细观察并使用VMRay分析器进行了全面分析。首先,初始感染者执行以下命令行:"C:\Windows\System32\rundll32.exe C:\ProgramData\性能数据#130英寸。据推测,攻击者交换了性能数据"用他们的"Petya.dll而是去跑步。但他们不得不考虑"rundll32.exe"将调用dll的第一个导出函数。因此命令行中出现了"#1"。当我们上传Petya.dll文件进行分析,因为我们还必须提交"#1"参数。对于这种情况,analyzer upload对话框有一个命令行参数字段(如图1所示),在这里我们键入"#1"。图1:Petya upload带有"#1"命令行参数如果我们忘记了这个参数,"rundll32.exe"将调用Petya.dll". 这是可行的,但VTI(VMRay威胁标识符)分数将较低,因为Petya 2017的恶意软件作者将此函数留空。这意味着什么都没有发生,DDOS防御案例,因此没有得分。上传后Petya.dll使用命令行参数(图2),我们得到的VTI总分为100/100。图2:Petya的VTI得分为100/100报告中VTI信息部分的第一行证实了我们在截图中看到的:一个全新的引导屏幕,带有臭名昭著的Petya外观。Petya 2017年分析在第一步中,Petya检索所有正在运行的进程的列表,高防免费cdn1001无标题,并为每个进程构建一个哈希。然后Petya将决定在哪种配置上运行,如果这三个固定的散列中存在匹配项。它搜索哈希值0x2E214B44、0x6403527E和0x651B3005(图3)。图3:Petya搜索哈希第一个哈希0x2E214B44可以重新构造为字符串"avp.exe". 这个过程是卡巴斯基安全软件的一部分。如果这个进程正在运行,Petya勒索软件将销毁主引导记录(图4)。否则,主引导记录将被新的Petya引导加载程序覆盖。图4:进程运行Petya时销毁主引导记录另外两个散列到目前为止还不能重建,但是有一些功能。如果找到其中一个散列,Petya不会尝试使用SMB漏洞EternalBlue来传播自己。在这个设置之后,Petya开始了它的主要任务:感染、加密和清理。感染Petya使用几种不同的策略来感染其他机器。一种是删除并运行凭证转储工具。此策略利用用户在多台计算机上运行会话时使用本地管理权限登录帐户的常见行为。Petya盗取的凭据很可能提供与其他计算机相同级别的访问权限。如果被盗的凭证是有效的,它会扫描网络,使用正常的文件传输协议将自己复制到其他机器上,然后使用WMIC(Windows管理规范命令行)工具远程执行这些副本(图5)。图5:使用WMIC工具远程执行拷贝如果WMIC工具不工作,它将尝试使用PSEXEC工具进行远程执行,而PSEXEC工具被删除为"主机数据"(图6)。图6:PSEXEC工具被删除为"主机数据".另一种方法是通过EternalBlue漏洞利用(图7)。图7:通过EternalBlue漏洞扩展自身的另一个选择加密在感染策略的同时,Petya开始了它的加密程序。为了得到一个快速的概述,我们查看函数日志文件并搜索一个众所周知的后缀,比如".png"(图8),因为我们认为勒索软件会搜索它。正如所料,我们找到了加密程序的一部分。图8:在函数日志文件中搜索.png文件现在我们可以读出所有后缀,Petya正在寻找:".3ds"、".7z"、".accdb"、".ai"、".asp"、".aspx"、".avhd",'.back'、'.bak'、'.c'、'.cfg'、'.conf'、'.cpp'、'.cs',".ctl"、".dbf"、".disk"、".djvu"、".doc"、".docx",".dwg"、".eml"、".fdb"、".gz"、".h"、".hdd"、".kdbx",".mail"、".mdb"、".msg"、".nrg"、".ora"、".ost"、".ova",".ovf"、".pdf"、".php"、".pmf"、".ppt"、".pptx"、".pst",".pvi"、".py"、".pyc"、".rar"、".rtf"、".sln"、".sql",".tar"、".vbox"、".vbs"、".vcb"、".vdi"、".vfd"、".vmc",如何开启高防cdn,".vmdk"、".vmsd"、".vmx"、".vsdx"、".vsv"、".work"、".xls",".xlsx"、".xvd"、".zip"如果我们滚动到函数logfile"FindFistFileW/FindNextFileW"循环的末尾,我们就到达了这些文件的加密部分(图9)。图9:"FindFistFileW/FindNextFileW"-函数日志文件中的循环我们注意到加密没有使用API函数"WriteFile"。相反,它使用"MapViewOfFile"/"UnmapViewOfFile",这允许直接对文件进行加密。但是使用这种技术,加密文件不会得到新的后缀。所有文件都用相同的AES密钥加密。AES密钥由恶意软件作者的公钥RSA加密。因此,加密的AES密钥将写入自述文件.txt(图10)。这些技术是通过搜索函数日志文件发现的。密钥是安全生成的。准备重新启动查看分析报告"概述"部分的"监视的进程"部分,我们可以看到加密正在运行另外两个在命令行的独立实例中启动的进程。"命令提示符".第一个命令执行:wevtutil cl设置&wevtutil cl系统&wevtutil cl安全&wevtutil cl应用程序&fsutil usn删除日志/D C:这个命令实际上是同时执行5个命令。所有"wevutil cl"任务确保清除系统、设置、安全和应用程序的日志文件(参数cl表示"清除日志文件")。"fsutil usn deletejournal/D C:"命令删除系统分区C:上的NTFS日志。第二个命令执行:schtasks/Create/SC一次/TN""/TR"C:\Windows\system32\关机.exe/r/f"/ST 17:15这将创建一个任务,在选定的时间重新启动系统。使用此方法是因为如果"关机.exe"使用参数"/t"执行("/t"表示关机前超时)弹出一个通知,告诉用户系统将在x分钟后重新启动。现在让我们假设已经到达预定时间,ddos防御国外,系统重新启动。然后显示一个假磁盘修复工具(图11)。图11:假磁盘工具下一次修复引导程序完成后,Petya运行。图12:Petya引导加载程序运行下面显示的文本与自述文件.txt,但"个人安装密钥"不同:哦,你的重要文件被加密了。如果您看到此文本,则您的文件将不再可访问,因为他们已经被加密了。也许你正忙着寻找恢复的方法你的文件,但不要浪费时间。没有人可以恢复你的文件我们的解密服务。我们保证您可以安全轻松地恢复所有文件。你需要做的就是提交付款并购买解密密钥。请按照说明操作:1.将价值300美元的比特币发送至以下地址:711MATMx278BWr253X2将您的比特币钱包ID和个人安装密钥发送到电子邮件wowsmith123456@posteo.net。您的个人安装密钥:AQIAAA5MAAAAAANULDTVTKKU1MS2HOCPJGIMOG8HCF59P2AV+Y9EaPFWZt4SWPWCDsnvQ/6gW6jT5maHjhKQdGATWxtbWdYvIFZuAdM7BZzrSKiH1SFAQpa5gj26o1i6yFqL6ImeSO9cvmjZP+2TDVIOKcMdFzR7Mv+YDmEo0cEUKijsaYJAv2Ka5Wi8vXTPl0mq+RPnbsRygh3UYnWcpDXEgwwLsC1e5vKSYct9iRF18kOAPOGa2vil5v1sOOitt9rgyw2ew8blzgqfr127twcnt52x11qnln69bjpmhtkv+SoWJFdNQL2e7Emsd2kyqudacmnsfbclbuexjgilrteszk/iflzLSw==这意味着重新启动后,显示的"个人安装密钥"完全无用,很可能是一个随机生成的数字,无法帮助重建原始AES密钥进行解密。结论新的Petya勒索软件并不是真正的勒索软件,而是一个雨刮器。这是因为它在没有备份的情况下更改主引导记录(MBR),并显示随机无用的"个人安装密钥"。电子邮件地址"wowsmith123456@posteo.net"立即被邮件提供商禁止使用。查看比特币账户可以发现,只有少数支付被交易(图14)。图14:比特币/电子邮件信息–Petya 20173.99029155比特币价值约1万美元,这对于勒索软件计划来说是微不足道的。无效的电子邮件地址以及比特币的不一致性表明,Petya的设计初衷是破坏性的,而不是为了经济利益。国际计算机科学研究所(International Computer Science Institute)的安全研究员尼古拉斯·韦弗(Nicholas Weaver)对克雷布斯(Krebs)就安全问题表示:"我愿意至少适度自信地说,这是一次蓄意的、恶意的、破坏性的攻击,或者可能是伪装成勒索软件的测试。"最好的说法是,Petya的支付基础设施是一个粪便剧场。"要深入了解Petya,请访问我们的完整分析报告。关于Julius Sewing Julius Sewing是VMRay的恶意软件研究人员,拥有应用计算机科学学位。他还在德国波鸿鲁尔大学攻读IT安全硕士学位。Julius的职责包括调查恶意软件使用的新的感染和规避技术。在业余时间,朱利叶斯喜欢喝咖啡,分析恶意软件或计算机软件,ddos防御设置,喜欢攀岩。

版权保护: 本文由 DDOS防御专家 原创,转载请保留链接: /web/61232.html

DDoS防御专家简介孤之剑
国内资深白帽子二十人组成员,前BAT资深网络安全工程师,知名网络安全站点板块大神,每年提交Google及微软漏洞,原sina微博负载插件开发者,现在整体防御复合攻击长期接受1-4.7T攻击,CC防护自主开发指纹识别系统,可以做到99.9999%的无敌防御。
  • 文章总数
  • 8162787访问次数
  • 建站天数

    QQ客服

    400-0797-119

    X