谨防ddos_网站安全防护措施_快速解决-墨者安全-墨者盾
DDOS防御_CC防护_高防CDN服务器_【墨者安全】—墨者盾墨者盾—你的网站贴身保镖!

QQ:800185041
高防免费接入:400-0797-119

渠道合作:156 2527 6999

主页 > 高防CDN > 谨防ddos_网站安全防护措施_快速解决

谨防ddos_网站安全防护措施_快速解决

小墨安全管家 2021-05-02 23:31 高防CDN 89 ℃
DDoS防御

谨防ddos_网站安全防护措施_快速解决

本博客是我们对于Emotet银行木马的系列博客的续篇。到目前为止,我们基本经过动态分析分析了Emotet的传递机制及其行为。从Emotet捕获的主机和网络数据发觉,Emotet经过将自个儿注册为一具服务来提升其权限,在文件系统的多个位置保持不变,并最后来删除滴管文件。阅读第1部分:Emotet:它怎么感染您的PCRead第2部分:Emotet:假如您能在这篇文章中找到我,我们将演示怎么解包主负载,并在调试器中解包后跟踪其执行。Emotet的执行包括多个时期的含糊可执行文件,这些可执行文件被加载到内存中,并在不同的内存区域中有一具复杂的代码流。它们的目的是使分析员、静态分析引擎和反汇编程序更难分析特洛伊。我们还描述Emotet在解包代码的早期怎么检查注册表项的存在。假如注册表项不可访咨询,则不大概解包并运行负载。我们发觉,阻挠对密钥的读取访咨询是防止Emotet有效负载跑。进来第二部分,防DDoS,我们讨论了Emotet怎么充当其他恶意软件家族的滴管,以及这怎么表明其运营商采纳了恶意软件即服务的商业模式。我们对一具名为15.exe的Emotet可执行文件的分析最后来删除了另一具银行特洛伊木马程序Trickbot。正如2019年4月的溴威胁洞察报告所强调的,我们然后看到大量的Emotet,而溴化物是其中最要紧的威胁之一隔离。开安装了Bromium的电脑,Emotet在一具孤立的微型虚拟机中运行,不大概破坏系统的完整性。由于恶意软件是动态运行的,它会产生危害指标(IOC),防DDoS,安全团队能够使用这些指标来爱护网络.Emotet打包机的要紧用途是压缩和加密可移植可执行文件(PE)。加密的有效负载在运行时被解包,接着解包代码将执行传递给新解包的代码。关于恶意软件作者,打包程序经过使二进制文件的静态分析更加艰难来关心躲避检测。Emotet的packer是多态的,这使得基于特征的检测工具更难依照包装器.文件名:15.execsize:428808字节md5:322f9ca84dfa866cb719b7aecc24905sha1:147ddeb14bfc1ff2ee7ef6470ca9a720e61aeasha256:af2f82adf716209cd5ba1c98d0dcd2ad9a171bb0963648bd8bd962edb52761241let查看PE文件。它的资源(.rsrc)部分占文件总大小的特别大一部分(51%),这表明恶意软件大概是包装好了。图1–资源部分消耗超过一半的二进制。看在资源部分显示了两个异常资源,称为EXCEPT和CALIBRATE。EXCEPT的高熵和大大小表明这大概是一具加密的有效负载。转储资源将确认它包含加密数据。在一些示例中,我们发觉从.data中删除了一具解密的PE文件剖面图2–异常资源称为"异常"和"异常资源"校准图3–加密数据除了。Emotet是模块化的,并使用沙盒检测等反分析技术来躲避分析。一具未打包的Emotet二进制文件包含数百个函数。当可疑的包装样本在诸如Ghidra如此的反汇编程序中打开时,CC防御,只识别出少数函数。这是另一具表明二进制是包装好了。图4–打包Emotet中由Ghidra标识的函数列表样品包装机注册表检查在我们分析打包程序代码的过程中,我们注意到一具生成字符数组的函数,它有一具条件while(true)无限循环。那个发觉让我们好奇是否能够触发无限循环来停止解包代码的执行,从而阻挠Emotet主负载的运行。该函数经过调用RegOpenKeyA来读取Windows注册表项。假如没有找到密钥,恶意软件将进入无限循环(图5)注册表.函数FUN_00401a90解码值为"interface\{aa5b6a80-b834-11d0-932f-00a0c90dcaa9}"的字符串,该字符串作为参数传递给RegOpenKeyA。此注册表项是Windows足本引擎接口IActiveScriptParseProcedure32运行所必需的。具体来讲,接口解析给定的代码过程并将该过程添加到名称空间。图6–RegOpenKeyA公司参数。我们查看了Emotet的其他示例以了解类似的功能。有味的是,在执行时,所有示例要么退出主线程,要么在没有此注册表的事情下进入无限循环键.文件名:891.exe首次提交给Virustal:08/05/2019MD5:BD3B9E60EA96C2A0F7838E1362BBF266SHA1:62C1BEFA98D925C7D65F8DC89504B7FBB82A6FE3SHA256:28E3736F3722E7FBC4CDE3E0CC31F88E3BFC16CC5C889B326A2F74F46E415AC图7–主线程在没有注册表的事情下进入无限循环键.文件名:448.exe首次提交给VirusTotal:07/03/2019MD5:193643AB7C0B289F5DE3963E4ADC1563SHA1:B14290BFAE015D37EBA7EDD8F5067AD5E238CC68SHA256:fd9ec47f5e720d42dd4b8ad231ee3ba5270e3fbd126fc8c6f39d243图8–主线程在没有登记处密钥。二进制经过调试器举行分析,以确认我们对15.exe是压缩Emotet二进制文件的怀疑,让我们在x64dbg中打开它并检查其映射的内存区域。在15.exe的可选标头中,地址空间布局随机化(ASLR)被禁用,这意味着假如大概,模块将加载到其首选基址0x00400000的内存中。第1时期15.exe中导入的函数之一是VirtualAllocEx。此函数用于在远程进程中分配内存,同时经常被恶意软件用于进程注入。我们将首先在VirtualAllocEx.图9–内存映射部分为15。假如我们向来运行到断点,我们看到Emotet在0x002200000处创建了内存分配。接着,它将映射映像的.data部分中0x00422200(文件偏移量0x0001FE00)处的代码存根复制到新分配的内存空间,并将操纵权授予它。数字10–在0x002200000处分配内存。Emotet接着从复制到0x002200000的代码中删除API和DLL名称。图11–Deobforusing LoadLibraryExA和内核32。dll.图12–除臭VirtualAlloc。它接着从kernel32.dll调用GetProcAddress来猎取解码后的API的地址名字。数字13–从代码存根0x002200000调用GetProcAddress API,以从kernel32的映射映像中检索导出API的地址。dll.First, LoadLibraryExA的地址是以这种方式检索的。接着它使用那个地址将kernel32.dll加载到地址空间0x766D0000。之后,它使用加载模块kernel32.dll的句柄调用函数列表上的GetProcAddress下图:LoadLibraryExagetProcAddressVirtualAllocSetFilePointerlStrnalStrCartaVirtualProtecturenmapviewOfficeSetModuleHandleWriteFileCloseHandleVirtualFreeGetTempPathAcrCreateFileA图14–调用GetProcAddress以猎取LoadLibraryExA.图15–调用LoadLibraryExA将kernel32.dll加载到经历。图16–地址为解决了。一具值得注意的是,Emotet为一具名为"mknjht34tfserdgfwGetProcAddress"的无效API调用GetProcAddress。因为这是无效的,函数返回一具空值,错误代码为0000007F(error_PROC_NOT_FOUND)。在我们查看的所有Emotet示例中,都对那个无效函数调用了GetProcAddress名称。图17–调用GetProcAddressAPI图18–调用GetProcAddress猎取GetProcAddress.图19–保存在堆叠。一次代码存根已检索到函数地址,则调用VirtualAlloc来分配另一具内存区域,在该区域中它从15.exe的.data部分写入已解密的PE文件,而不是来自.rsrc剖面图20–在地址0x002400000分配内存。图21–存根在地址0x002400000写入PE文件。从0x002400000转储的Emotet二进制文件名:Emotet_dumped_240000.exeMD5:D623BD93618B6BCA25AB259DE21E8E12SHA1:BBE1BFC57E8279ADDF2183F8E29B90CFA6DD88B4SHA256:01f86613fd39e5aa3edcf49b101154020a7a3382758f36d875b12a94294fbf0易熔云分类:Win32。特洛伊木马.emotedumping可执行文件并对其举行检查后发觉,它是另一具包含主负载的压缩Emotet二进制文件。我们在一些Emotet示例中看到,DDoS防御,第一具映射解密的可执行文件在从内存中转储后无法直截了当运行,然而那个示例可以快跑,佩斯图迪奥识别此文件的几个可疑特征,包括缺少导入、检测到打包机签名"Stranik 1.3 Modula/C/Pascal"以及文件大概包含另一具文件。图22–有关emotet_dumped_240000.exe的可疑指标由佩斯图迪奥。图23–emotet_dumped_240000.exe的Bromium操纵器进程交互图。它自个儿启动并创建一具名为"ipropmini"的服务,它与15所示的行为很匹配。可执行图形24–Bromium操纵器对emotet_dumped_检测到的高严峻性事件的视图。执行时期在0x2A0400写入并解密可执行文件后,代码存根使用VirtualAllocEx在地址0x002600000分配另一具内存区域。分配内存后,它从内存区域0x00240000读取有效负载并将其写入0x00260000。图25–调用VirtualAllocEx以在0x002600000分配内存。图26–存根将主emote负载写入0x00260000。在将主emote负载写入0x00260000后,接着,代码存根在代码中插入钩子和JMP指令(图28)。Emotet如此做是为了让代码分析变得更加棘手和混乱拆卸器。之后钩子在适当的位置有效载荷变得依靠于另一具内存区域来运行wh


DDoS防御

当前位置:主页 > 高防CDN > 谨防ddos_网站安全防护措施_快速解决

标签列表
DDoS防御
网站分类
X
 

QQ客服

400-0797-119