DDOS防御专家-提供超强DDoS高防/CC防护/大流量清洗服务!
当前位置:主页 > WEB安全 > 正文

免备案高防cdn_ddos高防ip指向哪个地址_解决方案

01-12 WEB安全

免备案高防cdn_ddos高防ip指向哪个地址_解决方案

沙箱规避技术博客系列底漆|第3部分|第4部分在我们关于沙箱规避的最初帖子中,我们概述了沙箱规避技术的三大类:沙盒检测:检测沙盒的存在(检测时只显示良性行为模式)开发沙箱缺口:利用沙箱技术或生态系统中的弱点或差距上下文感知恶意软件:使用基于时间/事件/环境的触发器(在沙盒分析期间未激活)在这篇文章中,我们将深入研究第一类沙箱规避技术的更多细节:当恶意软件专门检测到沙箱的存在并切换到良性行为时。第一种方法通过查找沙盒环境和真实受害者系统之间的细微差别来检测沙盒的存在。如果检测到沙盒,恶意软件通常会以两种不同的方式之一作出反应:要么立即终止(这本身就是可疑的),要么显示出非恶意行为,只执行良性操作。检测沙盒的存在有许多技术可以识别沙盒的存在。一旦被发现,恶意软件会以不同的方式做出反应。最简单的步骤是立即终止。这可能会引起一个危险信号,因为这不是正常、良性程序的行为。另一个操作是显示虚假的错误消息。例如,恶意软件可能会显示某个系统模块丢失或可执行文件已损坏的消息。更复杂的恶意软件可能会执行一些良性操作来隐藏真实意图。让我们深入了解恶意软件在野外使用的不同技术,以检测是否在沙箱中执行:检测虚拟化/虚拟机监控程序这是最古老的逃避手段之一。然而,它在今天已经不那么重要了,因为许多生产环境(工作站和服务器)都被虚拟化了,而且虚拟机(vm)不再仅仅由研究人员和恶意软件分析师使用。最早的方法是检测由于缺乏对虚拟化(Paravirtualization)的完全硬件支持而存在的技术工件。技术包括:通过后门("无效操作码")检测流行虚拟机管理程序的工件,例如VMWare("端口0x5658")或Virtualbox。检测通用hypervisor工件:最著名的是redpill("IDTR无法虚拟化")这些技术在今天不是很有效。虚拟化(虚拟化)是由硬件本身来处理的,因为现在虚拟化的硬件很少(如果有的话)。因此,它们不必被hypervisor模拟。另一种今天仍然相关的方法是检测hypervisor的实现工件例如:从MAC地址、设备ID或CPU ID或内存中存在的某些进程、文件、驱动程序、注册表项或字符串来显示供应商我们已经发布了两个分析,演示了几种类型的虚拟化检测。在第一个示例中,我们看到了一个尝试,即检测恶意软件是否在VirtualPC中运行:图。1: 利用恶意软件检测VirtualPC另一种方法是通过查看注册表值来检测虚拟机的存在。在本例中,恶意软件查询注册表项"HKEY_LOCAL_MACHINE\SOFTWARE"以查找与常见VM实现(如VMWare)关联的值:图。2: 通过注册表值查询进行VM检测检测沙盒伪影在这种方法中,恶意软件试图检测的不是hypervisor,而是沙盒本身。这可以通过使用与以下方面相关的供应商特定知识:常见的虚拟机产品。例如,存在某些文件、进程、驱动程序、文件系统结构、Windows ID、用户名等。生态系统。例如,机制:感染后将分析环境恢复到干净状态:深冻,被ddos攻击怎么防御,重生卡执行与沙盒控制器的通信:附加侦听端口,特定网络环境(主服务器,…)使用某些沙盒技术进行检测:大多数沙盒使用钩子,即它们在分析系统中注入或修改代码和数据。"钩子"本质上是一个填充层,用于捕获进程、驱动程序和操作系统之间的通信。钩子可以多种方式实现,例如:内联钩子、IAT、EAT、代理DLL、过滤器驱动程序等。这使得它们可以通过以下方式检测到:明确检查某些指令或指针,或验证系统的完整性,例如验证相关系统文件的哈希签名一些沙盒使用仿真,与本机系统相比,仿真具有副作用和细微差别,例如不同的指令语义、基于缓存的攻击等。可以通过调用仿真中未包含的模糊CPU指令来检测仿真间隙。当调用失败时,恶意软件将知道它正在模拟环境中运行。供应商特定检测的一个示例是,恶意软件会查找模块的存在SbieDll.dll"–它将在Sandboxie(一种常见的沙盒环境)下运行的指示器:图。3: 检测沙盒环境–Sandboxie探测人造环境沙箱通常不是生产系统,而是专门为恶意软件分析而设置的。因此,它们与真实的计算机系统并不完全相同,怎么防御ddos跟cc,这些差异可以被恶意软件检测到。差异可能包括:硬件特性:异常小的屏幕分辨率,没有USB3.0驱动程序,缺乏3D渲染功能,只有一个(V)CPU,硬盘和内存小软件属性:非典型软件堆栈,例如没有即时消息,没有邮件客户端系统属性:正常运行时间("系统在10秒前重新启动")、网络流量("系统正常运行时间为天,但通过网络传输的数据只有几MB"),未安装或仅安装默认打印机用户属性:干净的桌面,干净的文件系统,没有cookies,没有最近的文件,没有用户文件图4:通过API查询检测葡萄酒环境的恶意软件为了证明这一点,我们将回到图2中的分析。除了检查虚拟机的存在,这个恶意软件还在寻找Wine的存在,Wine是一个软件模拟器(也就是说,它模拟Windows功能,而不是CPU仿真)。我们可以在VTI评分中看到,恶意软件正在进行查询,获取\u PROC_地址,并试图从返回的结果中确定在葡萄酒环境中预期的结果:基于时间的检测监视应用程序的行为会带来定时惩罚,高防cdn有用吗,恶意软件可以通过检测沙盒的存在来衡量这一点。沙箱试图通过伪造时间来防止这种情况发生。然而,恶意软件可以通过合并外部时间源(如NTP)来绕过这一点。基于时间的检测的一个例子是这个样本,当分析检查rdtsc时,时间戳计数器:图。5: 恶意软件尝试通过时间戳计数器检测VM无检测沙箱为了避免这些类型的恶意软件检测,cc防御设置多少一秒,分析环境应:不依赖于修改目标环境。特别是,沙盒分析的一种常见方法是挂接。钩子(注入的用户模式或内核级驱动程序,用于监视和拦截API调用和其他恶意软件活动)的存在是恶意软件的一个信号。几乎不可能完全隐藏钩子的存在。要么完美地实现全系统仿真,要么根本不实现。虽然从理论上讲,一个完美实现的仿真环境很难检测到,但这是一项复杂的工作。正如所有软件都有缺陷一样,几乎可以肯定的是,任何给定的仿真环境都会有可以检测到的缺陷。使用"真实"的目标分析环境。如果沙盒分析器可以运行从实际生产端点复制的图像,那么检测的风险就会大大降低。正如我们之前所写的,与环境随机化相结合有助于确保没有恶意软件的迹象来识别目标环境是"假的"VMRay基于hypervisor的监控方法确保恶意软件有最小的攻击面来检测它是否在沙箱中运行。通过不修改目标环境,不依赖仿真,并允许真实世界的图像作为目标环境运行,VMRay没有为恶意软件提供任何标记为沙盒环境的功能。接下来,请阅读本系列的第3部分:利用沙盒技术中的漏洞。参考文献:端口:https://kb.vmware.com/selfservice/microsites/search.do?language=en_US&cmd=displayKC&externalId=1009458https://www.blackhat.com/docs/asia-14/materials/Li/asia-14-Li-Comprehensive-Virtual-Appliance-Detection.pdf打破沙盒:https://www.exploit-db.com/docs/34591.pdfhttps://www.brokenbrowser.com/detecting-apps-mimetype-malware/https://www.symantec.com/avcenter/reference/Virtual_Machine_威胁.pdf显示VirtualPC检测的分析报告分析报告显示恶意软件通过注册表检测虚拟机显示检测到沙盒伪影的分析报告显示基于时间的检测的分析报告葡萄酒软件仿真器https://blogs.forcepoint.com/security-labs/locky-returned-new-anti-vm-trick关于Carsten WillemsCarsten博士是CWSandbox的最初开发者,CWSandbox是第一个商业恶意软件沙箱系统之一,后来改名为GFI sandbox和Threat Analyzer。他是创建动态恶意软件分析和检测企业软件的先驱,也是这一领域全球领先的专家之一。他于2013年在波鸿鲁尔大学获得计算机科学/信息技术安全博士学位,大规模cc攻击防御,如今在恶意软件研究和软件设计方面拥有超过20年的经验。卡斯滕创立了几家公司,指导过许多网络安全初创公司,并定期出席学术和行业会议。他与联合创始人兼首席技术官拉尔夫•洪德共同开发了uni

版权保护: 本文由 DDOS防御专家 原创,转载请保留链接: /web/61251.html

DDoS防御专家简介孤之剑
国内资深白帽子二十人组成员,前BAT资深网络安全工程师,知名网络安全站点板块大神,每年提交Google及微软漏洞,原sina微博负载插件开发者,现在整体防御复合攻击长期接受1-4.7T攻击,CC防护自主开发指纹识别系统,可以做到99.9999%的无敌防御。
  • 文章总数
  • 8165254访问次数
  • 建站天数

    QQ客服

    400-0797-119

    X