国内高防cdn_宁波高防服务器_优惠券-墨者安全-墨者盾
DDOS防御_CC防护_高防CDN服务器_【墨者安全】—墨者盾墨者盾—你的网站贴身保镖!

QQ:800185041
高防免费接入:400-0797-119

渠道合作:156 2527 6999

主页 > 高防服务器 > 国内高防cdn_宁波高防服务器_优惠券

国内高防cdn_宁波高防服务器_优惠券

小墨安全管家 2021-08-26 14:14 高防服务器 89 ℃
DDoS防御
Guloader是一款从2019年12月开始广泛使用的下载程序。几位安全研究人员基本在野外确认了那个下载器,这意味着它特别快在威胁参与者中流行起来。当GuLoader第一次浮上时,它被用来下载视差RAT,但也被应用于其他远程访咨询特洛伊木马和信息窃取者,如Netwire、FormBook和Tesla。最近,Morphisec实验室团队注意到下载程序在针对一家大型银行的定向网络钓鱼电子邮件中传播。尽管视差鼠是第一批与GuLoader一起使用的恶意软件,但我们注意到这场特殊的战役中,Remcos RAT是最终的有效载荷。GuLoader被以为是用visualbasic编写的最先进的下载器之一,这通常使得扫描静态分析变得艰难。在这篇博文中,我们将介绍古洛德的内部结构。这包括它的外壳代码、规避技术和传递机制。技术分析:(2d6720ae866875b42601951eb3c9421fa2d5b7f0)那个活动的第一具时期是一封声称是付款发票的电子邮件。此电子邮件包含一具ZIP文件附件;与其他网络钓鱼电子邮件一样,目标是让目标下载附件并打开该文件。电子邮件显示为链的一部分,这使得目标更有大概在收到附件时打开附件。 图1:电子邮件假装是一具付款请求。ZIP文件附件包含一具VB6可执行文件,它存储加密的外壳代码。外壳代码用一具4字节的键举行异或处理,接着执行。jasonreaves(@sysopfb)为此刻期编写了一具解包程序,允许我们查看GuLoader的url。图2:解密和执行外壳代码。吞弹机外壳代码GuLoader在其外壳代码中有一些特别强的回避特性,为了使谨防解决方案更难分析它,它使用了一些反调试技巧。其中包括:反附加:为了防止调试器附加到进程,恶意软件的作者钩住DbgBreakPoint和DbgUiRemoteBreakin。攻击者通常经过跳转到"exitprocesss"函数来钩住这些函数。然而在这种事情下,它不过nop的,或者它跳转到一具无效的地址以使程序崩溃。图3:Ntdll函数钩子。外壳代码用一具检测软断点或硬件断点的函数包装了几个API调用,这些API调用被研究人员设置了断点。它经过检查DR*寄存器是否设置为0以外的值,并检查被调用API的字节是0xCC、0x3CD依旧0xB0F。假如它检测到硬件断点或软断点,它将跳转到无效地址以使程序崩溃。图4:在运行API调用之前检查硬件断点和软断点。使用ThreadHideFromDebugger(0x11)信息类调用NtSetInformationThread。抗静态和动态分析——混合x86\x64代码。相同的外壳代码能够读取为x64位和x86位代码。虽然外壳代码只能作为x86位使用,DDoS高防,但这是用来阻挠静态和动态分析的,因为推送垃圾指令不大概阻碍外壳代码的原始流。图5:读取的外壳代码与x64位和x86位相同。GuLoader外壳代码功能Guloader使用djb2散列函数来经过散列来解析API调用。它如此做是为了解析GetProcAddress。接着,它将使用相同的djb2散列函数来检索其他API调用。图6:djb2哈希算法。GuLoader使用了一具空心注射过程的变化,以运行其下一具时期。它生成自个儿的一具新的挂起进程(CreateProcessInternalW),接着将"msvbvm60.dll"映射到0x400000处的子进程上。"咕噜咕噜"的其他变体RegAsm.exe"作为子进程和映射"mstsc.exe接下来,DDoS防御,它将把外壳代码注入子进程,将入口点更改为外壳代码的入口点。接着恢复该进程,防DDoS,子进程下载加密的有效负载,并在0x400000处用解密的有效负载覆盖映像。在我们的示例中,解密的有效负载是Remcos RAT。图7:下载、解密和运行有效负载的函数。接着加载程序遍历这些url;在那个示例中有两个url,然而在当时,其中一具不是活动的。接着,它将以加密形式下载最后来有效负载,并使用存储在外壳代码中的XOR密钥(本示例中为0x239长度)对其举行解密。接下来,加载程序将用解密的代码覆盖0x400000加载的内容并跳到入口点。结论GuLoader作为一具恶意软件装载器出如今野外的频率越来越高。它是目前使用的最先进的下载器之一,经常从云托管平台下载其有效负载。可是,CC防御,那个活动是一具常规的URL。Morphisec阻挠GuLoader的执行,爱护其客户免受此恶意软件和其他规避恶意软件的攻击,以确保他们的关键基础设施是安全的。这种爱护也延伸到远程职员,我们鼓舞每个人利用我们的免费试用,看看我们怎么爱护关键系统免受网络攻击。国际奥委会:样品:907B9784966DBFC5447943747D3AED7445727D02d6720ae866875b42601951eb3c9421fa2d5b7f0FA601ABBDEB159ECCBEE527EBC6019619A9E44212dd8f1cf43b51ec779363de98636c6e35fc1b4b117d9701b22abb5530de2063698bcf75f2a90577网址:hxxp://阿拉伯兄弟[.]com/a/6.binhxxp://阿拉伯兄弟[.]com/a/3.binhxxp://ntaryan[.]com/a/6.binhxxp://ntaryan[.]com/a/3.binhxxps://drive.google[.]com/uc?export=下载&id=12dw-X7CxidMNeST2IlWkZAaJAha5TUFGhxxps://drive.google[.]com/uc?export=下载&id=1xz02BCj0obD4UPgs0CMtu gxxceyxzhxxps://drive.google[.]com/uc?export=下载&id=1xm_RKeKAUaH1QnWB_RZw4nMtdq7jK_PXhbspt.cta公司.\u relativeUrls=真;hbspt.cta.负荷(1534169,'d84d9103-828b-4b41-bd05-47410339f235',{});

国内高防cdn_宁波高防服务器_优惠券


DDoS防御

当前位置:主页 > 高防服务器 > 国内高防cdn_宁波高防服务器_优惠券

标签列表
DDoS防御
网站分类
X
 

QQ客服

400-0797-119