DDOS防御专家-提供超强DDoS高防/CC防护/大流量清洗服务!
当前位置:主页 > WEB安全 > 正文

防御ddos_宿迁高防bgp_3天试用

12-23 WEB安全

防御ddos_宿迁高防bgp_3天试用

本文是系列"无文件恶意软件"的一部分。查看其余部分:《无文件恶意软件冒险》,反射ddos攻击防御,第二部分:无文件恶意软件中的偷偷VBA ScriptsAdventures,第三部分:在无文件恶意软件中为乐趣和盈利风险混淆的VBA脚本,第四部分:DDE和Word FieldsAdventures在无文件恶意软件中,第五部分:无文件恶意软件中的更多DDE和COM ScriptpleTSadvEntries:关闭思想当我第一次开始研究黑客通过在受害者的电脑上使用可用的工具和软件生活在陆地上的话题时,单机5g防御够防ddos,我几乎没有怀疑这会成为一个主要的攻击趋势。现在这是可怕的科技头条的话题,安全专家们说,这一数字正在上升。这似乎是一个好时机,多部分IOS博客系列关于这个主题。恶意黑客攻击也称为无文件攻击或零占用攻击,通常使用Windows系统上的PowerShell偷偷运行命令来搜索和过滤有价值的内容。对于IT安全团队监控黑客活动,文件较少攻击很难发现,往往规避病毒扫描仪等基于签名的检测系统。.cta块{边缘顶部:45px;边距底部:45px;垫顶:45px;填料底部:45px;左垫:48px;右垫:48px;背景色:#F7F8FC;颜色:#fff;文本对齐:中心;}.cta区块h3{文本对齐:中心;颜色:#212234}.HUBSOT窗体容器{填充:20px;边距右:自动;左边距:自动;}.cta证明{字体大小:20px;字体样式:斜体;颜色:#55585B}获取免费PowerShell和Active Directory Essentials视频课程window['bizbile']=window['bizbilble']]\{u queue:[],Push:function(o,p){此_queue.push({type:o,data:p});};hbspt.forms.create({门盖:"142972",formId:"9d6e736c-b854-47e4-b734-564d968b43c0",SFDCActiviting ID:"701580000000OTJGAAY",onFormSubmit:函数($form){很奇怪。推('用户'{电子邮件:$表单。查找('[name=email]").val()});}});我建议新的和高级PowerShell用户都使用此功能。建立广告工具是一个伟大的学习经验。总之,传统防御不能真正处理这种攻击方式。当然,还有,啊,安全软件,将发现恶意软件活动在文件系统。无论如何,我在PowerShell模糊系列中已经写过一些这些想法,但更多的是从理论角度。然后我发现了混合分析网站,在那里你可以找到上传的恶意软件样本在野外捕获。野生PowerShell我想这是个寻找一些没有文件的恶意软件样本的好地方。我没失望。顺便说一下,如果你想自己去恶意软件狩猎探险,你必须接受混合分析人员的审查,服务器防御cc,这样他们知道你在做白帽工作。作为一个写安全的博客,我以飞扬的色彩通过了。我相信你也会的。除了有样本,他们还提供了对恶意软件正在做什么的深刻见解。混合分析在自己的沙箱中运行提交的恶意软件,并监视系统调用、启动的进程和Internet活动,以及提取可疑的文本字符串。对于二进制文件和其他可执行文件,特别是在您甚至无法查看实际的高级代码的情况下,此容器技术允许HA根据恶意软件的运行时活动来判断恶意软件是邪恶的还是仅仅是可疑的。然后他们会给样本打分。对于我正在寻找的恶意软件PowerShell和其他脚本示例(Visual Basic、JavaScript等),我可以看到实际的代码。例如,我遇到了这个PowerShell生物:您也可以运行base64编码的PowerShell以逃避检测。注意,在混合分析的活样本中使用了非交互参数。如果您已经阅读了我的模糊文章,您将知道-e参数指示下面的内容是base64编码的。顺便说一下,混合分析也可以帮助提供解码的PowerShell。如果您想自己尝试解码base64 PS,可以运行此命令来执行该工作:$DecodedText=[System.Text.Encoding]::Unicode.GetString([系统转换]::FromBase64String($EncodedText))$DecodedText=[System.Text.Encoding]::Unicode.GetString([系统转换]::FromBase64String($EncodedText))深入我使用此技术对脚本进行了解码,您可以看到下面的明文PowerShell恶意软件。注意这个PS恶意软件的时间敏感性,以及使用cookie传递更多信息。我在自己的测试中修改了这个真实的示例。我在自己的笔记本电脑上处理这个实时恶意软件时有点紧张。注意Varonis IT安全性:请注意,我使用了一个在线PowerShell控制台,以及我自己的独立AWS环境。明白了吗?无论如何,安卓ddos防御工具,我们在PS混淆系列中看到过这种特殊的攻击风格,其中base64编码的PS本身正在从另一个站点中提取更多的恶意软件,创建一个.Net Framework WebClient对象来完成重操作。为什么要这样?对于扫描Windows事件日志的安全软件,base64编码防止基于文本的模式匹配进行一些简单的检测——例如字符串"WebClient"匹配。由于恶意软件的真正邪恶部分被下载并注入PS应用程序本身,所以这种方法完全避免了检测。或者我想。结果是,启用了更高级的Windows PowerShell日志记录—请参阅我的文章—您可以在事件日志中有效地看到下载的字符串。我赞扬微软(其他人也是如此!)对于此添加的日志记录级别。然而,黑客随后通过base64对远程站点下载的PowerShell进行编码,这样它就会像上面编码的示例一样出现在Windows事件日志中。有道理,对吧?添加更多脚本调味汁然后,将混合分析中的实际样本进一步提出这个想法。黑客巧妙地将这种PowerShell攻击隐藏在用Visual Basic和其他脚本编写的Microsoft Office宏中。其想法是受害者收到来自联邦快递的一封钓鱼邮件,其中一个字文档被描述为发票。然后,ddos防御AWS,她点击doc,然后启动一个宏,然后最终启动实际的PowerShell。通常情况下,Visual Basic脚本本身被混淆,从而避免病毒和恶意软件扫描仪。是的,这是复杂而邪恶的。我只是做了一次很浅的潜水。本着上述精神,我决定作为一个训练练习,将上面的PowerShell封装在一些模糊的JavaScript中。您可以看到我的黑客手工操作的结果:隐藏编码PowerShell的模糊JavaScript。当然,真正的黑客比我做得更好。我从"野外"样本中借用了一种技术:使用Wscript.Shell启动实际编码的PowerShell。这是您从脚本环境中走出与系统其余部分交互的方式。顺便说一下,JavaScript本身就是一种提供恶意软件的工具。许多Windows环境默认都有Windows脚本主机,它将直接运行JS。在这个场景中,封装JS恶意软件作为文件附加在一起。文件jsWindows只显示第一个后缀,所以受害者会将其显示为Word doc。JS图标呈现为滚动式图形。不奇怪,人们会点击这个附件,认为它是一个文档。不要点击类似滚动的JS图标!它将下载邪恶的恶意软件。你被警告过了。对于我自己封装的JavaScript恶意软件,我修改了上面的PowerShell示例,从我控制的网站下载脚本。远程PS脚本只打印出"邪恶的恶意软件"。不是很邪恶。当然,真正的黑客们对通过外壳访问笔记本电脑或服务器感兴趣。。在下一篇文章中,我将展示如何使用PowerShell帝国来实现这一点,我曾经写过。我们可能会对介绍性文章过于深入,所以下次我会让你呼吸,再把这些内容再写一遍。然后我们可以开始摸索现实世界的恶意软件免费攻击,准备的方式。

版权保护: 本文由 DDOS防御专家 原创,转载请保留链接: /web/56234.html

DDoS防御专家简介孤之剑
国内资深白帽子二十人组成员,前BAT资深网络安全工程师,知名网络安全站点板块大神,每年提交Google及微软漏洞,原sina微博负载插件开发者,现在整体防御复合攻击长期接受1-4.7T攻击,CC防护自主开发指纹识别系统,可以做到99.9999%的无敌防御。
  • 文章总数
  • 7535779访问次数
  • 建站天数

    QQ客服

    400-0797-119

    X
    云顶国际彩票app-云顶国际下载-官网推荐