qps攻击谨防_能不能防_H5游戏谨防-墨者安全-墨者盾
DDOS防御_CC防护_高防CDN服务器_【墨者安全】—墨者盾墨者盾—你的网站贴身保镖!

QQ:800185041
高防免费接入:400-0797-119

渠道合作:156 2527 6999

主页 > CC防火墙 > qps攻击谨防_能不能防_H5游戏谨防

qps攻击谨防_能不能防_H5游戏谨防

小墨安全管家 2021-04-06 23:11 CC防火墙 89 ℃
DDoS防御
简介MORTO是一种自我复制的恶意软件,即经过远程桌面协议(RDP)利用弱密码的Windows服务器举行攻击的蠕虫病毒。它于2011年7月首次被检测到,导致RDP扫描活动从大约500个来源增加到10万个源,增长了200倍[10]。在典型的恶意软件的方式,它寻觅共同的安全软件,并禁用他们的功能,一旦成功渗透到机器。接着它连接到它的命令和操纵服务器等待指令和接收软件更新。偶数虽然与其他臭名昭著的恶意软件类型相比,Morto感染的数量并不高[3][6],但Morto的内部有一些有味的算法,本文将重点介绍这些算法。另外,有传言讲摩托大概有一具版本,这将在题为Morto的章节中讨论变型。更多有关Morto的历史及其活动的详细信息能够在[1]和[2]中找到,如图1所示。图2:DropperPart one删除了数据部分中的含糊处理,将其变成一具"一般"代码,随后由整个恶意软件执行。第二部分将数据存储到注册表中,恶意软件随后将使用该注册表。最终,第三部分将加载程序放入系统并执行"注册表". 对这三个部分举行了更详细的描述下面。滴管–第一部分首先经过ZwAllocateVirtualMemory分配内存并将其自身复制到该区域。此刻,内存中的代码是含糊的,所以,Morto将对代码举行反含糊处理,并将"一般"代码复制到另一具经过VirtualAlloc分配的内存区域。如今,代码基本预备好执行了,Morto最终调用它。滴管–第二部分第二部分使用函数GetTickCount、srand和rand计算一具随机数,接着存储在HKLM\SYSTEM\WPA\id中。接着它尝试在未受感染的计算机上读取尚不存在的HKLM\SYSTEM\WPA\md。它经过分配内存并将含糊数据复制到内存中然后执行,这些数据稍后存储在HKLM\SYSTEM\WPA\md中。此外,还会分配另一具内存块并将DLL复制到其中。接着,它执行GetSystemTime并将结果存储在HKLM\SYSTEM\WPA\it中,并在c:\windows\offline web pages\下创建一具文件,其名称基于GetSytemTime。一旦纯代码执行完成,就会调用一具函数,DDoS防御,该函数接收"Drop"作为其参数。此函数返回一具地址,它是滴管的第三部分,将在下一节中讨论。有味的是,恶意软件本身会确认它会将一些东西"扔"到调用该函数的系统中。图3显示了对接收到"Drop"作为参数的函数的调用https://dum21w3618van.cloudfront.net/images/morto/fig3.png"width="500px"class="image migrated from jive">图3:调用drop loaderDropper–dropper的第三部分开始于尝试在\\tsclient\a\中创建一具名为由一具固定的前缀ID加上在第二部分中获得的随机值构造,DDoS防御,该值保存在注册表项HKLM\SYSTEM\WPA\ID中。恶意软件甚至不检查RDP会话是否已打开或驱动器是否已映射:尝试创建此文件大概是检查系统是否已被感染的一种想法,但由于身份证是随机的,于是事情大概并非这样。接着删除注册表项HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\RunMRU,但缘由仍不清晰。接下来,它创建注册表项HKLM\SYSTEM\WPA\md,并将在第二部分中分配的数据添加到其中:这也许是有效负载。接着是DLL c:\windows\clb.dll文件使用第一部分复制的数据创建,同时其MAC时刻(修改时刻、访咨询时刻和创建时刻)依照有效的DLL c:\windows更改\wmi.dll. 这是用来愚弄分析人员谁会寻觅最终更改的系统文件。图4显示了恶意DLL c:\windows\clb.dll文件在MAC时代改变后。图4:clb.dll文件在更改其MAC timefinally之后,执行regedit以加载恶意DLL c:\windows\clb.dll文件. 这是情况变得很有味的时候。而不仅仅是打电话regedit.exe经过诸如System之类的常用函数,滴管枚举窗口,直到找到一具运行对话框窗口,接着将其文本更改为regedit.exe点击"确定"按钮。用户看不到任何窗口打开;然而,假如我们自个儿打开run dialog,regedit.exe清楚可见。图5显示了执行"确定"按钮之前的运行对话框窗口https://dum21w3618van.cloudfront.net/images/morto/fig5.png"width="500px"class="image migrated from jive">图5:regedit.exe运行对话框窗口的使用解释了它往常删除注册表项的缘由HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\RunMRU,其中列出了运行期间执行的命令对话。之前我们然后对加载程序举行分析,重要的是了解恶意DLL是怎么产生的clb.dll文件,它位于c:\windows下,由regedit执行。这是由Windows寻找DLL的搜索顺序完成的,如[4]所述,并从恶意软件的角度在[5]中举行了解释。但差不多上,一旦应用程序加载DLL,假如其名称未列在HKLM\System\CurrentControlSet\Control\Session Manager\KnownDLLs下,Windows操作系统将检查应用程序的路径。因为clb.dll文件未在KnownDLLs注册表项下列出,同时regedit.exe在c:\windows下,它将寻找clb.dll文件在c:\windows名目下执行其版本的clb.dll文件,它是恶意的,而不是原来的c:\windows\system32\clb.dll文件. 使用sysinternals工具[7]procmon,我们能够清晰地看到恶意DLLclb.dll文件执行人注册表,如图6所示。图6:恶意clb.dll文件执行人加载程序编辑器装载机也分为分为三部分,如图7所示。图7:LoaderPart one检查调用进程是否为rundll32.exe,该进程负责将DLL加载到系统中,并试图打开一具现有的文件,可能让Morto检查系统是否基本被感染。第二部分的功能与dropper的第二部分相同;然而在本例中,它读取注册表项HKLM\SYSTEM\WPA\md。第三部分只调用有效负载。下一节将介绍三个装载机零件。装载机–第一部分首先,加载程序检查调用进程是否为rundll32.exe。由于我经过OllyDBG调试器[8]执行了加载程序,加载dll.exe而不是rundll32.exe,因为加载dll.exe让我们调试DLL,而不是像rundll32.exe那么执行它。然而在有效负载上,Morto执行rundll32.exe,以便在受感染的系统上执行恶意DLL。假如此部分由rundll32.exe调用,恶意软件将尝试打开现有的文件\\tsclient\a\moto,该文件名Morto来自该文件,特别大概用于检查系统是否已被感染。它还读取c:\windows\winhlp32.exe的前4个字节,DDoS高防,然而假如它不存在,它将尝试读取c:\windows\system32的前4个字节\写入.exe. 前4个字节是0x4D、0x5A、0x90、0x00,它们关于每个PE文件基本上通用的。一开始大概会以为如此的字节会被插入到HKLM\SYSTEM\WPA\md的开头,并使其成为可执行文件。但事实并非这样,所以,这4个字节大概被负载本身用于另一具尚不清晰的缘由,DDoS防御,或者它们不过作者用来愚弄分析员。加载器–第二部分第二部分的功能与滴管的第二部分几乎相同:唯一的区别是那个地点基本存在了HKLM\SYSTEM\WPA\md及其内容被读取并放入缓冲区。同样,调用一具函数,该函数返回执行将跳转到的地址,并表示第三部分。对于参数,此刻字符串"Load"被用作参数而不是"Drop":那个参数表明恶意软件是atte

图1:Morto architecturate dropper是可执行文件,它为了调用加载程序,将嵌入的恶意DLL放入系统并调用注册表, 它是执行加载器的应用程序。一旦加载器被执行,它就会在系统中创建一具服务并丢弃另一具恶意的DLL,接着由恶意服务调用该DLL。第二个DLL负责调用有效载荷。Most在现有的公共分析中,如[1]和[2],描述了Morto的活动及其三个组成部分:滴管、装载机和有效载荷。可是,人们对组件之间怎么相互作用知之甚少。本文将重点介绍dropper和loader怎么协同工作来执行有效载荷。英寸我们将具体分析并回答以下咨询题莫托:为啥要删除HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\RunMRU注册表项,该注册表项经过"运行"对话框存储已执行程序的列表?怎么实际执行regedit以加载恶意dll?装载机怎么执行有效载荷?啥是sens32.dll?啥是HKLM\SYSTEM\WPA\sn?为啥它叫"Morto",在葡萄牙语里意思是死了?实际上,我们不懂答案一具。在接下来的部分,每个组件将更详细地描述其内部算法.DropperMD52eef4d8b88161baf2525abfb6c1bac2bSHA1 0BBB014657BF4459FAA2E6FAF11D0559B196187C滴管分为三部分,如图2所示。

qps攻击谨防_能不能防_H5游戏谨防


DDoS防御

当前位置:主页 > CC防火墙 > qps攻击谨防_能不能防_H5游戏谨防

标签列表
DDoS防御
网站分类
X
 

QQ客服

400-0797-119