网站安全防护_网站高防_免费试用-墨者安全-墨者盾
DDOS防御_CC防护_高防CDN服务器_【墨者安全】—墨者盾墨者盾—你的网站贴身保镖!

QQ:800185041
高防免费接入:400-0797-119

渠道合作:156 2527 6999

主页 > 网站防护 > 网站安全防护_网站高防_免费试用

网站安全防护_网站高防_免费试用

小墨安全管家 2021-05-02 22:41 网站防护 89 ℃
DDoS防御
为了让恶意参与者危害系统,他们需要幸免在进入目标网络时被检测到。通常,网络钓鱼电子邮件传递恶意附件(T1193)作为初始访咨询载体。[1]对手还需要一种想法,在目标计算机上执行代码,而不必泄露自动化工具和安全团队的监控工作。最常见的代码执行技术之一是使用解释性足本语言(T1064),它能够在没有附加依靠关系的操作系统上运行。[2]在Windows上,攻击者滥用的常用解释语言包括PowerShell、VBScript、JScript、VBA(Visual Basic for Applications),命令shell解释的命令(命令提示符)。网络攻击者和谨防者处于一种持续的竞争状态,他们为了获得能够决定入侵企图结果的优势而相互竞争。在这种背景下,我们经常看到恶意的参与者改变他们的工具来增加成功入侵的机遇,尤其是那些最初用来妥协的下载者系统。输入2019年8月初,我们注意到大量发送TrickBot的恶意垃圾邮件活动开始使用Ostap,一具商品JavaScript(或者更具体地讲,DDoS防御,JScript)下载器。往常,TrickBot活动依靠于使用含糊命令shell的下载程序,以及后来由VBA AutoOpen宏触发的PowerShell命令来下载它们有效载荷。英寸那个帖子,我解释了怎么对Ostap举行除错,并描述了我编写的一具Python足本(deobflocaste_静态)这会自动清除那个JScript恶意软件。该工具可在GitHub上下载。[3]TrickBot,也称为TrickBot,是一种模块化银行特洛伊木马和dropper,被以为至少由三个威胁参与者操作,在安全社区中被追踪为TA505、Grim Spider和Wizard Spider。[4][5][6][7]而基于JavaScript的下载程序并不新奇,TrickBot最新的下载程序以其尺寸、虚拟机检测和反分析措施而著名。例如,本文中分析的Ostap样本在两个不同的公共沙箱中生成了不完整的痕迹,同时都没有下载各自的TrickBot有效载荷。[8][9]此外,上传到VirusTotal的样本在第一次上传时的检测率较低,为6/55(11%),这表明Ostap可以有效地规避大部分风险反病毒发动机图1–其中一具Ostap的总体检测摘要样品。OstapTrickBot的JScript DownloaderDownloaders是一种恶意软件,设计用于从一具或多个远程服务器检索和运行辅助负载。它们的简单功能意味着下载程序特别少会超过几百行代码,即使在混淆的事情下也是这样。Ostap反对这种趋势,因为它很大,DDoS防御,包含了近35000行通过美化的含糊代码。历史上的诡计活动表明,他们的运营商更爱慕比大多数其他电子犯罪参与者更长的代码混淆,以绕过检测,例如在2018年8月的活动中。[10]图2–Ostap样本的行数、字数和字节数,用于在美化后交付TrickBot。下载器是34757行长宏分析下载程序是作为一具支持Microsoft Word 2007宏的文档(.DOCM)提供的,其中包含下载程序的两个组件:VBA宏和JScript(图3)。所分析的电子邮件和样本以采购订单为主题,这表明这些活动特别大概是针对企业而不是针对企业个人。图3–诱惑文件下载器。这个下载器的JScript组件以白色文本的形式存储在文档的主体中,从而产生高字和高页数数。数字4–诱饵中的JScript文件。文件VBA宏保存在名为"对不起"的项目中。打开文档时,它首先将JScript复制到名为2的文件中安哥拉.dot和2安哥拉.dotu在用户的默认Word模板名目(%AppData%\Microsoft\Templates)中。该过程由文档。打开事件。[11]图5–在文档打开了。这个宏的其余部分仅在文档关闭时运行,经过监控文档。关闭事件(图6)。[12]这是一种反沙盒措施,用于阻挠不模拟用户活动(如关闭)的沙盒举行行为分析文件。图6–带注释的VBA代码,当文档关闭。假如文件已关闭,宏重命名为2安哥拉.dot到2安哥拉,Jse接着运行它:宏从Win32进程WMI类调用Create想法来运行一具新的资源治理器.exe用2处理安哥拉,Jse作为它的命令行参数(图7)资源治理器.exe在基本运行的位置创建进程,使用/factory创建新进程,{75DFF2B7-6936-4C06-A8BB-676A7B00B24B}-嵌入命令行参数(图8)。CLSID对应于名为"CLSID_SeparateMultipleProcessExplorerHost"的ProgID。[14]资源治理器运行2安哥拉,Jse使用Windows足本主机(WScript.exe),JScript编码文件(.JSE)的默认文件处理程序,如图9所示。2的文件扩展名安哥拉.dot重命名为.Jse确保使用WScript.exe. 依靠默认文件关联意味着宏能够经过间接引用WScript来躲避检测,在上下文中通常用于恶意目的的程序宏图形7–Sysmon事件显示资源治理器.exe由WMI提供程序主机启动后运行JScript文件的进程(WmiPrvSE.exe文件)图8–Sysmon事件显示资源治理器.exe正在使用参数/工厂创建进程,CLSID{75DFF2B7-6936-4C06-A8BB-676A7B0B24B}-嵌入。图9–Sysmon事件显示WScript.exe运行JScript文件。反-分析度量有味的是,Ostap包含一具假Windows足本主机运行时错误,该错误在足本运行后不大会儿发生。这特别大概是为了阻挠人工检查下载器。图10–在下载器。图11–在TrickBot中存储假错误消息的变量下载器。一些下载程序的示例在JSE文件。这是另一种反分析措施,用于触发自动JavaScript分析工具,这些工具大概会将足本的其余部分解释为注释块的一部分,而不是可执行的代码。一次除雾后,还显示了其他一些反分析措施。例如,Ostap经过寻找运行的黑名单来查询WMI是否正在虚拟机中运行进程:AgentSimulator.exe Anti-virus.EXEBehaviorDumperBennyDB.exectfmon.exefakepos_binFrzState2kgemu-ga.exe(Qemu hypervisor的宾客代理大概拼写错误,凯姆-ga.exe软件)ImmunityDebugger.exeKMS服务器Service.ExeProcessHackerProcessProxifier.exepythontcpdum公司pVBoxServiceVBoxTray.exeVMRemoteGuestvToolsDvmWare2b.exeVzService.exewinaceWiresharkMany沙盒在它们的客户映像中运行这些进程,例如布谷鸟沙盒及其使用Python代理的派生版本。该足本还检查主机和用户的黑名单名字。艾米莉汉斯彼得-PCHAPUBWSHong LeeIT ADMINJOHN PCJohnsonMillerMUELLER PCPeter WilsonSystemIT | adminimmywin7 traps美化JScript写入磁盘的JScript惟独一行,特别难手动分析。为了使代码更具可读性,能够使用Einar Lielmanis的JS Beautifier工具重新格式化代码并向代码添加缩进,该工具也适用于JScript,因为它们共享相似的语法。[15]JS beautify 2安哥拉,Jse>二安哥拉代码结构、关键变量和函数代码是否可读,我们能够开始分析足本的结构、变量和函数。我们在那个地点的目的是确定负责下载器。这个足本包含很多垃圾变量,这些变量在足本的其他地点都没有使用。我们能够简单地删除这些变量。通常能够将含糊处理程序自动生成的变量与故意义的变量区分开来,因为它们的命名约定将不同。为了例如,在图12中,您能够看到足本中的一些变量赋值。所有这些基本上垃圾代码,除了名为gunsder的变量,它看起来特别有味,因为它包含字符串"from"。它也被引用了2515次特别有希翼。数字12–中的一些变量编写足本图13,您能够在第15行看到一具名为xxqneol的函数。我们以为有味的变量gunsder与其他字符串连接在一起。连接后,您能够看到返回的字符串是对fromCharCode()想法的引用,该想法将Unicode字符代码转换为字符。[16]此函数提供了一具名为etsfhis的参数。在调用fromCharCode之前,该函数检查第二个参数vqjpvi是否为字符h。此函数也被引用了7540次,所以特别大概在足本。如今假如我们懂函数的作用,我们能够给出它,防DDoS,它的变量和参数故意义的名称(图14)除臭。图14–更名为xxqneol功能分析字符代码计算函数下一步,我们能够查看fromCharCode引用的函数,以了解它是怎么使用的。在清理了图15中的代码之后,能够看到该函数使用算术运算符从存储在名为pkkwrit4的数组中的值计算Unicode字符代码。接着将Unicode字符代码和字符h提供给fromCharCode函数,该函数返回一具Unicode字符。在这种事情下,返回的字符是f。下载器中的每个字符都有自个儿的函数来计算其字符代码。那个特定的示例有7540个函数,用于计算所有字符代码。图15–用于计算Unicode字符的众多函数之一代码。图16–清洁

网站安全防护_网站高防_免费试用

,DDoS防御


DDoS防御

当前位置:主页 > 网站防护 > 网站安全防护_网站高防_免费试用

标签列表
DDoS防御
网站分类
X
 

QQ客服

400-0797-119