网站安全防护_高防ddos如何做的_优惠券-墨者安全-墨者盾
DDOS防御_CC防护_高防CDN服务器_【墨者安全】—墨者盾墨者盾—你的网站贴身保镖!

QQ:800185041
高防免费接入:400-0797-119

渠道合作:156 2527 6999

主页 > 高防CDN > 网站安全防护_高防ddos如何做的_优惠券

网站安全防护_高防ddos如何做的_优惠券

小墨安全管家 2021-08-26 14:22 高防CDN 89 ℃
DDoS防御
随着视差老鼠活动的增加——新的老鼠浮上,Morphisec实验室决定公布更多对于Morphisec统一威胁预防平台在我们客户网站上拦截和阻挠的最新活动的技术细节。Parallax是一种高级远程访咨询特洛伊木马程序,支持所有Windows操作系统版本。它可以绕过高级检测解决方案,窃取凭证,DDoS防御,执行远程命令,还与多个冠状病毒恶意软件活动有关联。视差要紧是经过恶意的垃圾邮件活动来传递的,微软word文档是我们挑选的传递工具,下面的博客文章也将对此举行描述技术细节在深入讨论细节之前,我们想先介绍一下我们调查过的一具攻击链的总体流程总流程:此活动的第一步是使用嵌入宏的Microsoft Word文档。启用宏时,DLL将被放到%Temp%名目中。接着调用此dll的导出函数,该函数将外壳代码注入可执行文件"过程。那个过程负责从pastebin下载下一具时期,这是视差老鼠装载器。视差老鼠装载器做类似的情况来执行最终的视差老鼠有效载荷。它向mstsc.exe进程,它负责从"i"下载下一具时期。imgur.com网站"以图片的形式。接着解密图片并将其注入"命令提示符"过程。作为其持久性机制的一部分,将创建打算任务,以不同的间隔启动恶意软件。图1——感染过程树图2——视差工作名目 图3——从Imgur下载的图像第一时期:文件:下面是一具microsoftword文档的一具示例,该文档用于传递视差鼠。注意依照VirusTotal的检测率特别低。自2020年1月以来,Morphisec实验室基本看到这些文件经过网络钓鱼电子邮件发送到目标机器。图4——病毒总数中的低检出率 文档的内容旨在诱使受害者启用宏。一旦完成了,老鼠就能够奔驰并运送它的有效载荷。图5——文档内容也许不可读。 假如我们看一下嵌入的宏,我们能够看到在垃圾代码之间有两个有味的调用。 图6——对dropper函数的宏调用。这些调用负责解析文档本身中的单词,并将它们分别转换回DLL、64位和32位版本。文档中的单词(数字)实际上是被拆分为十进制值的DLL。传递给函数的前两个参数标记DLL的开始和结束,第三个参数表示要放入%temp%文件夹中的DLL名称,第四个和第五个参数是垃圾,从不使用。我们在其他具有不同名称的文档中发觉了相同的行为,以及相同的垃圾代码和相同数量的未使用参数。图7——调用导出函数DLL导出函数在解析完成后调用。第二时期:动态链接库:调用的DLL导出函数负责解码将下一级外壳代码注入记事本.exe过程。 图8——调用的DLL导出函数第一级外壳代码为了躲藏低层(Nt*和Zw*函数)进程空心注入的使用,shell代码使用直截了当的syscall。攻击者使用此技术来逃逸调试器断点以及躲避userland钩子。视差将它自个儿的ntdll副本映射到内存中以利用这种技术。 图9——视差将自个儿的ntdll副本映射到内存。在映射ntdll的新副本之后,CC防御,DDoS防御,Parallax使用操作码中的简单偏移量提取来提取系统调用。 图10——从可疑函数中提取系统调用。 图11——直截了当系统调用。 注入外壳代码注入的外壳代码(通常注入到可执行文件)负责从pastebin下载和解码视差鼠。图12——Pastebin原始内容使用base64对pastebin内容举行解码,CC防御,并使用在pastebin URL上使用CRC32校验和函数生成的密钥举行XORed。图13——解码程序。解码后的视差有效载荷被转储并从%temp%名目执行。Vitali K覆盖了构成视差RAT的加载程序和图像解码器,而pastebin解码器能够经过Github访咨询https://gisthub.com/osipovar/a80e8b6b3caad209f17616761530302b结论这种新的视差老鼠运动表明了恶意软件即服务(MaaS)的趋势,MaaS是威胁行为体武器库中最有害的武器之一。这也是一种趋势,在特别大程度上推动了网络犯罪分子可用的恶意软件的创新水平。虽然这样,Morphisec的客户仍然能够肯定,经过挪移目标谨防功能,他们能够抵御视差鼠和其他远程访咨询特洛伊木马附录国际奥委会:文件(SHA1):2b2eaf94189d21b7a4418ff480fa332832aa0d98e793d2e0ac963357dc7895f62071c1036eba8284E440F67CA7D34BE07346013D078072F64774E8C45df85b3fe8954099cd49fdc5d59863baf1e6b7640EFA7E40846C5041E33ECD3396082A1608D72CB4D8A4470ED1DC17CF62C6D0BADA7CA1FED21242c71fda9c05f89730204361ff6a21cdae025e72ab5bae45055e0c18ac9f0ccc190f6f277dc806fDFC46DFA38FBA3648F36050c623fab59258300680f3dd0447cf3815498d89FF8C49FB3DA3A8E84BC332E646E4DF3F3F6760161820606DA9B7949DD45B93FE39B07B1BD973E2fb1a63a3505427e42323bafef10349cc48b2a8b420d9ffc0a760c40ca2e8ea480b8e268225a07f21dc94d5d49cd4ab215f291d188544a4996c056548642F6BB8B1DB4C3ADAD1C90167430F28536362锡纸箱:hxxps://pastebin网站[.]com/raw/2spx5VGGhxxps://pastebin网站[.]com/raw/5PILLRJS公司hxxps://pastebin网站[.]com/raw/5UNEFHA公司hxxps://pastebin网站[.]com/raw/aKj2aqwchxxps://pastebin网站[.]com/raw/AvEEMK9J公司hxxps://pastebin网站[.]com/raw/BTiRSV6C公司hxxps://pastebin网站[.]com/raw/BXBbPstBhxxps://pastebin网站[.]com/raw/cpfstw2k公司XXBIN主页://[.]com/raw/CuUTrPX0公司hxxps://pastebin网站[.]com/raw/drvV1FPJ公司hxxps://pastebin网站[.]com/raw/EnTPcdwc公司hxxps://pastebin网站[.]com/raw/exs0tSC7hxxps://pastebin网站[.]com/raw/FAUCzPvi公司hxxps://pastebin网站[.]com/raw/eYRSb32g 巴布亚新几内亚:hxxps://i.imgur[网址]com/02OZh3h.pnghxxps://i.imgur[.]com/KPolbR1.pnghxxps://i.imgur[网址]com/s9Nu51u.pnghxxps://i.imgur[.]通信/巴新hxxps://i.imgur[.]通信/B4巴布亚新几内亚hxxps://i.imgur[.]通信/swnDCdS.pnghxxps://i.imgur[.]com/H0公司RNHhb.pnghxxps://i.imgur[.]com/4lQl9福建.pnghxxps://i.imgur[.]com/8kZ4号拉吉语.pnghxxps://i.imgur[.]通信/FGfZfCf.pnghxxps://i.imgur[.]com/82号WDYmV.pnghxxps://i.imgur[.]com/aNQrMu1.png

网站安全防护_高防ddos如何做的_优惠券


DDoS防御

当前位置:主页 > 高防CDN > 网站安全防护_高防ddos如何做的_优惠券

标签列表
DDoS防御
网站分类
X
 

QQ客服

400-0797-119