DDOS防御专家-提供超强DDoS高防/CC防护/大流量清洗服务!
当前位置:主页 > WEB安全 > 正文

cdn防御_高防男士手表推荐_快速接入

01-12 WEB安全

cdn防御_高防男士手表推荐_快速接入

Cerber勒索软件的一个新变种正在流行,它具有内置的反沙盒工具来检测基于挂钩的沙盒环境,如Cyphort在本文中所解释的那样。基于钩子的方法的局限性在于,将驱动程序注入目标环境并"钩住"API调用,雅虎cc防御系统,使得恶意软件能够轻松地检测分析环境。Cerber勒索软件的这种变体将尝试调用一些假定使用非法参数(如无效地址)监视的函数。如果此示例在非沙盒环境中执行,则异常处理程序将启动。但是,对于基于钩子的沙盒解决方案,这可能会导致崩溃。基于挂钩的沙盒的基本原理如图1所示:图1:Windows内核中可能的挂接位置VMRay Analyzer不被这种反沙盒(或沙盒规避)技术检测到,因为我们有一种基于无代理管理程序的方法(图2)。另一种监视方法(或主要的API)不依赖于这种创新的方法。通过使用ITM,分析环境中的任何内容都不会被修改。我们透明地监视恶意软件和系统任何部分之间的所有活动。您可以在我们的技术白皮书中了解更多关于我们方法的细节。图2:VMRay Analyzer在Type2虚拟机监控程序上运行基于hypervisor的方法的一个巨大优势是,我们总是在尽可能高的语义级别进行拦截。这对于检测恶意行为非常有用,特别是对于那些想知道恶意软件实际做了什么的反向工程师来说。如果上传Cyphort文章中提到的一个示例,您会注意到我们的VTI得分为91/100(如图3所示)。图3:Cerber勒索软件VTI评分91/100在分析报告中,我们看到了一个加密尝试的指标,这是Cerber勒索软件样本所期望的。一个有趣的行为是,该示例尝试直接调用内部Windows函数。这是一种已知的技术,可以避免在基于挂钩的沙盒解决方案中检测到问题,cdnddos防御,而这些解决方案只监视一些功能而忽略了其余的功能。然而,在我们的分析中,多亏了模块间转换监控,我们可以检测到最高语义级别的函数调用,并且我们能够判断CreateProcessInternal是直接调用的。没有正当理由这么做,所以被归类为可疑行为。如前所述,此示例试图通过调用具有不合法参数的函数来崩溃监视模块。根据Cyphort文章,其中两个函数是recvfrom和CryptCreateHash。为了验证这一点,让我们更仔细地查看函数日志文件,通过代理服务器防御ddos,它位于任何已完成分析的起始页(在"概述"下),如图4所示:图4:Cerber勒索软件的功能日志文件一旦我们保存了这个简单的文本文件,就可以在我们最喜欢的文本编辑器中打开它,在图5中可以看到这些函数是用错误的参数(0x1c)调用的:图5:Cerber勒索软件调用错误参数(0x1c)此外,Cerber的这个变体试图通过在一个大循环中调用GetClientRect来实现自己的sleep版本。在一些沙盒系统上,这将停止执行足够长的时间,以隐藏此后可能出现的任何恶意行为。但是,如图6所示,VMRay Analyzer只需6秒即可完成循环:图6:Cerber勒索软件调用GetClientRect所有的防沙盒方法都无法检测到VMRay Analyzer。我们可以在图7中看到Cerber恶意加密目标机器上的文件的结果。图7:Cerber勒索软件加密目标机器此分析显示了VMRay Analyzer如何抵御恶意软件的变体,如Cerber勒索软件,超级好用的linuxcc防御,利用反沙盒技术。有关VMRay如何击败反沙盒技术的更多详细信息,ddos防御防护设备,请下载我们的新白皮书"击败规避恶意软件"。访问完整的Cerber勒索软件分析报告。工具书类://www.vmray.com/blog/sandbox-evasion-technologies-part-1/ https://306dlv9g2c4fl4za451pdg1b-wpgengine.netdna-ssl.com/wp-content/uploads/2016/07/VMRay_Technology_Whitepaper.pdfhttps://www.vmray.com/analysis/5576298/report/overview.htmlhttps://www.cyphort.com/new-breed-of-cerber-ransomware-employes-anti-sandbox-armoring/关于Emre gulleremre是VMRay的恶意软件研究人员。Emre的主要职责是识别新的恶意软件规避技术。在加入VMRay之前,Emre在德国盖尔森基兴(Gelsenkirchen)的互联网安全学院(instituteforinternetsecurity)工作了3年。他还在鲁尔大学(Ruhr University)攻读IT安全硕士学位期间,担任系统安全讲座的学生。

版权保护: 本文由 DDOS防御专家 原创,转载请保留链接: /web/61236.html

DDoS防御专家简介孤之剑
国内资深白帽子二十人组成员,前BAT资深网络安全工程师,知名网络安全站点板块大神,每年提交Google及微软漏洞,原sina微博负载插件开发者,现在整体防御复合攻击长期接受1-4.7T攻击,CC防护自主开发指纹识别系统,可以做到99.9999%的无敌防御。
  • 文章总数
  • 8163618访问次数
  • 建站天数

    QQ客服

    400-0797-119

    X