美国高防_阿里云ddos高防ip_免费测试-墨者安全-墨者盾
DDOS防御_CC防护_高防CDN服务器_【墨者安全】—墨者盾墨者盾—你的网站贴身保镖!

QQ:800185041
高防免费接入:400-0797-119

渠道合作:156 2527 6999

主页 > DDOS防御 > 美国高防_阿里云ddos高防ip_免费测试

美国高防_阿里云ddos高防ip_免费测试

小墨安全管家 2021-05-02 23:00 DDOS防御 89 ℃
DDoS防御
作者:托比·格雷和拉特内斯潘迪。终点检测和响应(EDR)工具依靠于操作系统事件来检测恶意软件运行时生成的恶意活动。这些事件后来被关联起来分析,以发觉异常和可疑的行为。此类事件的来源之一是应用程序接口(API)钩子,它关心EDR解决方案跟踪感兴趣的API调用。我们最近遇到了一具网络钓鱼活动提供代理特斯拉密码窃取特洛伊木马。在分析Bromium安全平台捕获的法医数据时,我们注意到在ntdll.dll,CC防御,导出Windows本机API的动态链接库(DLL)。有效载荷被溴安全平台隔离并捕获恶意软件代理Tesla downloader以.xls文件的形式到达,该文件删除并执行主负载。在这篇博文中,我们讨论了滴管对api的脱钩,以躲避EDR等依靠于挂钩的工具的检测。在随后的博客文章中,我们对运动系统CallsA系统调用是操作系统内核中的一具函数,它为来自用户的请求提供服务,并提供一具屏障,以便用户无法直截了当访咨询底层的高权限资源。在Windows系统上ntdll.dll库包含用户模式系统调用。有关这些系统调用的信息存储在函数指针数组和系统服务描述符表(SSDT)中。图1–服务描述符数据结构包含指向系统数组的指针打电话来的"Base"指向函数指针数组,系统调用号是该数组的索引。这些函数用于请求内核执行某些操作,例如在NtAllocateVirtualMemory的事情下分配虚拟内存。在接下来的讨论中,我们将重点讨论NtProtectVirtualMemory,它是一具未记录的系统调用,防DDoS,用于更改内存的权限。64位Windows上的32位代码当32位程序在64位Windows计算机上运行时,它在Windows 64(简称WoW64)上称为Windows的系统下运行。因为内核是在64位模式下运行的,于是来自32位程序的系统调用都经过包装器函数Wow64SystemServiceCall举行,该函数位于内存中的已知位置。这意味着ntdll.dll,其中包含很多系统调用函数,重复性特别强结构:图2–拆卸Nt爱护虚拟内存NtProtectVirtualMemory的四行反汇编代码被分解为:将系统调用号0x50加载到eax寄存器将Wow64Transition的位置(上面截图中的0x77BC2430)放入edx寄存器调用edxReturn处的函数在此函数中,下一具系统调用函数ZwQuerySection紧跟在该函数之后,并遵循相同的结构,唯一的区别是加载0x51作为系统调用号,而不是0x50。挂接API安全产品使用API挂接来拦截和记录来自软件的系统API调用。实现这一点的一种想法是修改上钩了。啥时候钩住,第一条指令被跳转到钩子生成的蹦床代码的指令所取代软件。图3–NtProtectVirtualMemory的原始函数被5字节的jmp覆盖指令。输入图3,NtProtectVirtualMemory的第一条指令不再将0x50加载到eax;而是将代码的执行(或跳转)重定向到地址0x004F0012。挂接代码将在该地址生成代码其中:执行为其添加挂接的操作,这能够是以下组合:记录API调用以监视活动修改API调用以防止某些操作锁定API以阻挠恶意活动形成替换的指令(本例中为mov eax,50,于是设置eax寄存器为0x50)将执行跳转回原始函数中的下一条指令(在本例中为0x77BAE215),作为原始函数,接着照常然后执行,调用API的代码和系统内核都不懂函数调用基本截获。恶意软件从:Alhaji Nasiru取下API钩子邮件头收件人:主题:8月的新采购订单日期:Sun,2019年7月28日16:41:52-0700附件:签字修订-PI.xlsDownloaderFilename:签名修订-PI.xls大小:82 KB(83968字节)MD5:C081E4AA1FBE4857E88E4FBF91FE90ESHA-1:1F6527CBD8BC83132A89C4F66A897A576259C4A1SHA-256:42BD54E60C86AE02BCD9BCD02FA82C9D77D831F3EED77DD924E2E6976B9A5808DropperFilename:v4bc6f.exe[Win32。特洛伊注射器]文件大小:936 KB(958464字节)MD5:97BD950CA1FBD49A632A876A05E7ACEFSHA-1:6FD6E4B676BD363B817F54F067684A14BA31E053SHA-256:851AC0EF09561566EFCDDDB15288A6DF82009940D58F851D006732675F3B9AD1D现代恶意软件通常依赖多态性和含糊处理技术,经过基于特征的检测技术(如反病毒)规避静态检测。EDR工具的工作方式不同,它经过监视系统活动和标记可疑事件(假如存在与正常应用程序行为的偏差或与已知的恶意模式匹配)。大多数这些事件基本上经过挂接api生成的。一些安全解决方案还使用API钩子在可疑事件发生时阻挠恶意进程触发。啥时候在分析那个恶意样本时,我们注意到一些修改内存映射的独特代码ntdll.dll在发射有效载荷之前,特斯拉探员(bin.exe文件). 恶意软件分配外壳代码,接着执行以下操作操作:调用NtProtectVirtualMemory在ntdll.dll的地址空间将该区域的内存权限更改为PAGE\u EXECUTE\u readwritereRemoves API钩子ntdll.dll如下所述,调用NtProtectVirtualMemory将区域的页面权限重置回PAGE_EXECUTE_read移除钩子后,DDoS防御,它经过ShellExecuteW API执行主负载图4–删除API的外壳代码钩子。这个恶意代码在扫描的内存之前将Wow64SystemServiceCall的地址加载到edx寄存器中ntdll.dll一次一具字节。在上面的代码中,0x004A0A50处的指令正在递增ebx寄存器,该寄存器包含ntdll.dll到检查一下在0x004A0A51处的第一具检查正在执行与前面描述的挂钩类型无关的检查,所以跃过该比较并跳到0x004A0A6BWow64Transition的值,假如找到它,则执行从0x004A0A6F开始的指令。按顺序罗列这些是:写eax中的值(它是系统调用号的计数器,所以在NtProtectVirtualMemory中为0x50)在值Wow64的位置之前5个字节转换。写入将字节0xB8输出到Wow64值位置之前的6个字节过渡。增量eax中的值,将系统调用号移到下一具值写出5个字节(eax为4个字节,0xB8为1个字节)的结果是将任何挂接指令(如上一具示例中的jmp 0x004F0012)替换为原来的指令(在上一具示例中为mov eax,CC防御,50)。最后来结果是恶意代码如今能够调用系统API,安全,因为它的请求不大概被任何人监视或阻挠钩子。那个关于Bromium安全平台来讲,解钩不是一具咨询题,因为恶意活动仍将包含在微虚拟机(uVM)中,其中使用硬件支持的隔离爱护剂特斯拉PayloadFilename:bin.exe文件[字节码-MSIL.Spyware.Ielib]文件大小:331.5 KB(339456字节)MD5:640CA1048F2AED048CB209234FA080B9SHA-1:58790A758B31E80648DB288BA86F49F7DC05D89BSHA-256:53997AF9CF992BF7A97E54F79A1474A1C0023133D7B861A278BAA238C9421

美国高防_阿里云ddos高防ip_免费测试


DDoS防御

当前位置:主页 > DDOS防御 > 美国高防_阿里云ddos高防ip_免费测试

标签列表
DDoS防御
网站分类
X
 

QQ客服

400-0797-119