您现在所在位置:主页 > 防御cc >

美国高防_cdn如何防ddos_零误杀

更新时间:2021-07-22

美国高防_cdn如何防ddos_零误杀

这一深入研究分析的贡献者包括Erika Noerenberg,Andrew Costis和Nathanial Quist所有LogRhym实验室研究小组的成员。摘要截至2017年5月12日(星期五),公开命名为"WannaCry"、"WCry"或"WanaCrypt0r"(基于二进制和加密文件中的字符串)的勒索软件已经传播到至少74个国家,据报道最初针对俄罗斯,并蔓延到电信、航运、汽车制造商、大学和医疗保健行业,在其他中。该恶意软件对用户文件进行加密,要求向感染后显示的指令中指定的地址收取价值300美元或600美元比特币的费用。WannaCry勒索软件由多个组件组成。初始滴管包含加密器作为一个嵌入式资源;加密器组件包含一个解密应用程序("Wana Decrypt0r 2.0")、一个受密码保护的zip文件,其中包含一个Tor的副本,以及几个带有配置信息和加密密钥的单独文件。到本报告为止,还不确定最初感染使用了什么载体。有人猜测,在一次网络钓鱼活动中传播了一个武器化的PDF,但分析师尚未证实这一猜测,logrythure分析师获得的假定PDF样本不起作用。万纳克里分析研究人员已经鉴定出多个WannaCry滴管的样本;尽管它们具有相似的功能,云服务器ddos防御,但样本略有不同。此报告中分析的滴管示例、加密器和解密器具有以下SHA256哈希值:滴管24d004a104d4d54034dbcffc2a4b19a11f39008a575aa614ea04703480b1022c加密机ED01EBFBC9EB5BEA545AF4D01BF5F1071661840480439C6E5BABE8E080E41AA解密器b9c5d4339809e0ad9a00d4d3dd26fdf44a32819a54abf846bb9b560d81391c25作者似乎并不关心阻碍分析,因为所分析的样本几乎没有包含任何混淆、反调试或支持VM的代码。然而,该恶意软件利用了美国国家安全局(NSA)分析师开发的漏洞,微软于2017年3月14日修补了该漏洞(MS17-010,参见https://technet.microsoft.com/en-us/library/security/ms17-010.aspx尽管有许多未修补的系统仍然易受攻击。应用此贴片可以减轻病毒的传播,但不能防止感染。使用的攻击名为EternalBlue,利用服务器消息块(SMB)协议中的漏洞进行攻击,该漏洞允许恶意软件传播到启用此协议的网络上从XP到2016的所有未修补的Windows系统。此漏洞允许通过SMB v1执行远程代码。WannaCry利用此漏洞,根据目标系统创建一个具有硬编码值的自定义SMB会话请求。值得注意的是,在第一个SMB包发送到受害者的IP地址后,恶意软件会向受害者发送两个附加的数据包,其中包含硬编码IP地址192.168.56.20和172.16.99.5。此报告末尾包含检测此流量的LogRthyment Network Monitoring(NetMon)查询规则。单击"图像"展开图1:SMB包示例当执行滴管时,它首先尝试与域建立连接[.]iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea[.]com,如果连接成功,DDOS防御需要宽带吗,则退出。此域以前未注册,linux如何防御ddos攻击,导致此连接失败。然而,在5月12日下午,这个域被研究人员MalwareTech注册并深陷,有效地充当了许多系统的"杀手开关",从而减缓了感染率。但是,ddos防御清洗过程,恶意软件打开连接的方法不会影响通过代理服务器连接的系统,使这些系统仍然易受攻击。如果连接失败,dropper将尝试创建一个名为"mssecsvc2.0"的服务,显示名称为"Microsoft Security Center(2.0)service"。这可以在系统事件日志中观察到,事件ID为7036,表示服务已启动。系统事件日志还将显示事件ID 7036,指示服务已启动。图2:事件ID 7036滴管然后从其资源R/1831中提取加密程序二进制文件,将其写入硬编码文件名%WinDir%\任务调度.exe,然后执行它。执行时,加密程序会检查互斥体"mswinzonecachecountermutex0"是否存在,阿里云dns防御ddosip,如果存在,则不会继续。值得注意的是,恶意软件不会创建这个互斥体,这表明它正在检查系统上是否存在其他软件,如下图所示:图3:加密程序检查互斥体是否存在加密程序二进制文件还包含一个受密码保护的zip文件(密码:2楼7楼)包含以下文件:一个名为"msg"的目录,包含扩展名为.wnry的富文本格式文件。这些文件是@WanaDecryptor@.exe以下每种语言的解密程序:保加利亚人英语意大利语罗马尼亚语中文(简体)菲律宾人日本人俄语中文(繁体)芬兰语韩国人斯洛伐克语克罗地亚语法国人拉脱维亚语西班牙语捷克的德语挪威语瑞典的丹麦语希腊语磨光土耳其的荷兰语印度尼西亚语葡萄牙语越南语解密信息的英文和西班牙文翻译(至少)似乎是机器翻译的,因为有些语法错误是母语人士无法预料的。b、 wnry,显示解密指令的位图文件c、 wnry,包含以下地址:gx7ekbenv2型洋葱57国集团spgrzlojinas.洋葱xxlvbrloxvriy2c5.洋葱76jdd2ir2embyv47.洋葱cwwnhwhlz52maqm7.洋葱https://dist.torproject.org/torbrowser/6.5.1/tor-win32-0.2.9.10.zipr、 wnry,解密工具使用的附加解密指令,英语s、 wnry,一个包含Tor软件可执行文件的zip文件t、 wnry,使用WANACRY加密!加密格式,其中"WANACRY!"是文件头任务dl.exe,(哈希4a468603fdcb7a2eb5770705898cf9ef37aade532a7964642ecd705a74794b79),文件删除工具taskse.exe,(哈希2ca2d550e603d74dedda03156023135b38da3630cb014e3d00b1263358c5f00d),枚举远程桌面协议(RDP)会话并在每个会话上执行恶意软件u、 wnry(哈希b9c5d4339809e0ad9a00d4d3dd26fdf44a32819a54abf846bb9b560d81391c25),"@WanaDecryptor@.exe"解密程序文件在将这些文件放入其工作目录后,恶意软件会尝试将所有文件的属性更改为"隐藏",并授予对当前目录中所有文件以及以下任何目录的完全访问权限。它执行"attrib+h.",然后执行"icacls"。/授予所有人:F/T/C/Q"。图4:执行"attrib+h."后接"icacls_GrantEv"然后,WannaCry继续加密系统上的文件,搜索以下文件扩展名,这些文件扩展名是硬编码的二进制文件:.docx文件.ppam公司.sti公司.vcd光盘.3加仑.附表.myd公司.wb2型.docb文件.potx公司.sldx文件.jpeg文件.mp4.dch公司.frm公司.slk公司.docm文件.potm公司.sldm公司.jpg版.mov公司.下倾.odb公司.迪夫点.pst时间.sldm公司.bmp文件.avi公司.pl.dbf文件.stc公司.dotm公司.ost公司.vdi公司.png格式.asf公司.vb语言.db.sxc公司.dotx点.消息.vmdk文件.gif文件.mpeg.vbs文件.mdb版.ots系统.xls公司.eml公司.vmx公司.生的.vob公司.ps1.accdb系统.ods系统.xlsm公司.vsd.aes公司.tif格式.wmv公司.cmd命令.sqlitedb.最大值.xlsb型.vsdx文件.弧.蒂芙佛罗里达州.js公司.sqlite3.3ds版.xlw型.txt文件.PAQ公司.nef公司.swf公司.asm公司.asc公司.uot公司.xlt公司.csv文件.bz2型.屏蔽门.wav文件.h.小时.第6层.stw公司.xlm公司.rtf型.tbk公司.人工智能.mp3.pas系统.躺着.sxw公司.xlc公司.123个.bak公司.svg格式.sh页.cpp公司嗯.ott公司.xltx文件.周.焦油.djvu公司.等级.c.sxm型.odt公司.xltm版第1周.tgz公司.m4u单元.震击器.cs公司.otg公司.pem公司.ppt页.pdf格式.gz点.m3u.java语言.锁.odg公司第12页.pptx键.dwg文件.7赫兹.中.rb型.sln公司.uop公司.企业社会责任.pptm版.onetoc2.rar公司.wma公司.asp.ldf公司标准.阴极射线管.罐.snt公司.zip文件.飞行高度.php文件.中密度纤维板.sxd型.键.pps公司.hwp公司.备份.3g2.jsp文件.ibd公司.otp公司.pfx公司.ppsm公司.602个.iso标准.mkv版本.轴承.myi公司.odp公司.订单.聚苯硫醚.sxi型      此外,注册表项会写入"HKLM\SOFTWARE\Wow6432Node\WanaCrypt0r\wd",该注册表项添加一个键以引用最初执行WannaCry的位置。WannaCry加密程序启动嵌入式解密程序二进制文件"@WanaDecryptor@.exe,"显示两个定时器和指令,用受感染系统的配置语言发送赎金。指令要求向指定地址支付价值300美元的比特币。以下地址以二进制形式硬编码,但分析样本仅观察到第一个地址:12T9YDPGWUEZ9NYGW519P7AA8ISJR6SMW115P7Ummongoj1pmvkphijcrdfjnxj6rln13AM4VW2dhxYgXeQepoHkHSQuy6NgaEb94图5:二进制硬编码地址以下是"Wana Decrypt0r 2.0"程序截图:图6:Wana Decrypt0r 2.0程序截图恶意软件还会在桌面上显示"b.wnry"中包含的以下位图图像,以防"Wana Decrypt0r"程序无法执行:图7:桌面显示的"b.wnry"中包含的位图图像如果赎金在第一个计时器到期前没有支付,赎金价格将加倍。在第二个计时器过期后,恶意软件自述文件将不可恢复。一旦文件被加密,如果没有解密密钥,它们将无法恢复。该恶意软件使用Microsoft增强的RSA和AES加密提供程序库来执行加密。文件加密后,解密程序尝试通过以下命令删除任何Windows卷影副本:命令行.exe/c vssadmin delete shadows/all/quiet&wmic shadowcopy delete&bcdedit/set{default}bootstatuspolicy ignoreallfailures&bcdedit/set{default}恢复启用否&wbadmin delete catalog–quietWannaCry缓解如果系统感染了WannaCry勒索软件,最好尝试从备份中恢复文件,而不是支付赎金,因为无法保证付款会成功解密。为了防止感染和此恶意软件在网络上传播,所有Windows系统都应更新当前补丁程序和防病毒特征码。此外,阻止到SMB端口(139和445)的入站连接将防止恶意软件传播到仍易受修补漏洞攻击的系统。有关进一步的指导,请参阅以下Microsoft博客文章,其中引用了为