DDOS防御专家-提供超强DDoS高防/CC防护/大流量清洗服务!
当前位置:主页 > WEB安全 > 正文

ddos清洗_宝塔免备案_快速解决

01-13 WEB安全

ddos清洗_宝塔免备案_快速解决

RTF文档利用MS Office的旧漏洞来删除Python键盘记录器。我们最近遇到了一个RTF(富文本格式)文档,结果证明是非常恶意的-它导致安装了一个键盘记录器。在撰写本文时,在VirusTotal上检测到的AV为56例中的31例。AV厂商通常将此威胁命名为通用,并引用了该恶意软件利用的CVE漏洞CVE-2012-0158(卡巴斯基:漏洞利用.Win32.CVE-2012-0158.j,Bitdefender:漏洞利用.RTF-目标发电机例如)。值得注意的是,该漏洞首次被披露是在大约4年前,然而恶意软件的作者们认为有足够多的未修补系统存在,因此值得他们使用这个漏洞。对于我们在VMRay Analyzer中的分析,它是在Windows7系统中用MS Word 2007打开的。RTF键盘记录器过程图查看监视的进程的概述,ddos如何免费防御,我们可以看到RTF文件可能是恶意的,因为文档查看通常不涉及生成大量进程,cc防御软件,更不用说进程注入了。严重程度评分查看"严重性"选项卡可以确认这种怀疑。这里我们可以看到,除了生成新进程和注入现有进程外,示例还连接到远程主机并丢弃打包的PE文件。它还注册一个启动应用程序,以便在重新启动时保持持久性。分析报告可以显示每个检测到的恶意行为的附加信息。由此我们可以推断更新.serviceupports.com,删除的可执行文件打包在UPX中,并且从该网站下载的注册启动应用程序被调用csrsss.exe文件. 选择看起来合法或类似于合法系统组件的域名和文件名,以及打包恶意二进制文件,是恶意软件采用的典型反检测技术。高级过程信息进程信息:被监视的进程,包括调用它的命令行。监视的流程的概述不仅包括流程图,还包括列出每个流程的高级信息的表这有助于全面了解示例的行为。例如,该表显示process#3删除注册表项HKCUSoftwareMicrosoftOffice14.0WordResilience,然后退出。此注册表项用于禁用Microsoft Word的加载项。通过删除它,恶意软件为以后安装恶意Word插件扫清了道路。类似地,我们可以看到大多数进程正在运行命令行.exe只关心每个任务的执行,我们可以很容易地从相应的命令行推断出来。除了删除注册表项外,这些过程还包括:填充并隐藏恶意软件的目录C:SystemVolumeProgram登记csrsss.exe文件作为启动应用程序和日常执行检索系统、卷和目录信息因此,仅从高级进程信息来看,我们已经知道恶意软件将其文件放入一个名为C:SystemVolumeProgram的隐藏目录中,以及它如何确保持久性。但是,一些被监视的进程-尤其是那些正在运行的进程winword.exe文件, 主进程, csrsss.exe文件,和假脱机.exe还需要调查。深入调查"行为"选项卡允许我们更仔细地查看那些尚未探索的进程。在MS-Word加载RTF文件后,它利用office2007中的一个漏洞来执行代码。然后删除隐藏的文件svchost.exe并执行它。通过检查函数日志,我们可以从ParseScriptText调用的参数中提取VBScript。  功能日志VBScript下载csrsss.exe文件从,将可执行文件存储在C:systemvolumeeprogram中,执行它,并设置上面提到的持久性度量。csrsss.exe文件首先检索多个WindowsAPI函数的地址。API调用这表示一种常见的模糊处理技术。该恶意软件在运行时动态检索指向所有导入函数的指针,允许它从其IAT(导入地址表)中删除对这些函数的引用。这种方法使得试图从二进制文件的IAT条目推断二进制文件恶意性的静态分析器变得毫无用处。恶意软件随后会将一些dll(包括一个名为python27.dll)以及几个.pyd文件(由Python代码创建的dll)放到一个临时文件夹中。这表示示例准备执行Python代码。除此之外,可执行文件csrsss.exe文件, 主进程,和假脱机.exe与三个VBScript文件一起被删除。VMRay Analyzer自动提取所有删除的文件,这使我们很容易看到VBScript文件的唯一用途是调用以前删除的可执行文件。在三个可执行文件中,假脱机.exe是执行Python负载时最有趣的一个。虽然我们可以提取Python脚本进行静态分析,但这实际上是不必要的。Python代码为键盘和鼠标注册钩子。我们可以在报告中看到这一点:寄存器挂钩Python键盘记录器使用这些钩子来确定聚焦窗口的名称并记录任何键盘输入。然后将此数据发送到远程主机更新.serviceupports.com. 同时,csrsss.exe文件以及svchost.exe收集有关系统和运行进程的附加信息,云盾ddos防御态势cc,以补充密钥记录数据。过程信息因此,我们可以从VMRay报告中推断出所分析的样本是一个恶意的RTF文件,它利用msoffice中的漏洞来安装基于Python的keylogger。许多恶意软件甚至无法阻止分析。附加信息:文件名:46f4aa7e10ce42e780f4dd8e8c29008c20c4803aef99020327ccd75d909ed64b文件类型:RTF文件MD5:b11e4f05b80ac98a441c381d0eaba9f3SHA1:106461E0297703E53ED4A37E88F7D71442A52C5SHA256:46f4aa7e10ce42e780f4dd8e8c2908c20c48033aef99020327ccd75d909ed64bCVE-2012-0158:?名称=CVE-2012-0158关于Ralf HundRalf博士于2013年在波鸿鲁尔大学获得计算机科学/信息技术安全博士学位。在他的研究期间,ddos阿里防御,什么软件可以防御ddos,他专注于软件二进制文件的新分析方法,特别是恶意软件。他的研究成果发表在许多领先的学术IT安全会议上,并因杰出的工作而获得多个奖项。此外,拉尔夫还参与了一些沙盒技术的设计和开发。他在恶意软件研究方面拥有超过10年的经验,并在各种学术和工业会议上积极发言。他的特殊兴趣在于虚拟化技术及其在软件分析中的应用。

版权保护: 本文由 DDOS防御专家 原创,转载请保留链接: /web/61267.html

DDoS防御专家简介孤之剑
国内资深白帽子二十人组成员,前BAT资深网络安全工程师,知名网络安全站点板块大神,每年提交Google及微软漏洞,原sina微博负载插件开发者,现在整体防御复合攻击长期接受1-4.7T攻击,CC防护自主开发指纹识别系统,可以做到99.9999%的无敌防御。
  • 文章总数
  • 8167406访问次数
  • 建站天数

    QQ客服

    400-0797-119

    X