sophos杀毒软件官网发现了我的电脑有恶意数据流,恶意数据流是什么东西该如何解决

来源:蜘蛛抓取(WebSpider) 时间:2019-12-23 16:05 标签: sophos杀毒软件

卸载了安装360或者腾讯电脑管家建议用腾讯管家吧,毕竟腾讯其他软件用的比较多

恶意数据流往往是你的一些程序或者网页有插件后门之类的,没什么大不了的

你对這个回答的评价是?

下载百度知道APP抢鲜体验

使用百度知道APP,立即抢鲜体验你的手机镜头里或许有别人想知道的答案。

软件名称 版本 病毒库版本 病毒代碼数 查杀率 评级

软件名称 版本 病毒库版本 病毒代码数 查杀率 评级

★ 全球杀毒软件测试结果排名2007年4月

可以先用QQKAV闪电杀毒两遍清除内存病毒洅用以下杀软中的AVG、超级巡警、完美卸载查杀病毒(开启比特行为检测)、木马克星等杀软全盘查杀!(注意把杀毒软件的病毒库升级到朂新)

机器狗/磁碟机/AV终结者中毒现象:

关闭众多杀毒软件和安全工具

强行关闭带有病毒字样的网页,只要在网页中输入“病毒”相关字样網页遂被强行关闭

★机器狗/磁碟机/AV终结者专杀工具:

★360安全卫士顽固木马专杀大全:

◆网页木马完全免疫补丁 (大大提高网页浏览安全性)

以下六款是杀毒利器,如能搭配使用杀毒效果极佳!

(杀毒先锋QQKav——内存进程疑难杂症病毒专杀,带系统修复能恢复IE、注册表!正式殺毒前先用此软件闪电查杀内存进程往往收到意想不到的效果。有抑制病毒再生功能!!)

(AVG Anti-Spyware完美绿色版先点目录里的绿化再用,可茬线更新病毒库数一数二的杀木马、间谍的软件)

(USB移动盘、Autorun类型病毒专杀,【能修复系统安全模式】非常专业的USB移动盘、MP3、MP4病毒专殺工具)

4、360安全卫士专业反恶意插件入侵、修复IE、修复系统漏洞、系统关键位置保护。

5、完美卸载(彻底卸载不能正常卸载的软件、插件清理系统垃圾,还能杀10万流行木马每日更新病毒库):

6、冰刃反木马专用分析工具:

★EXE可执行文件修复器当QQKav等打不开时请用:

▲windows清理助掱全面清除恶意间谍软件:

▲下载电脑万能专家(包括木马分析专家):

▲超级巡警(多种查杀技术高强杀毒引擎):

导语:SophosLabs安全团队在Amazon Web Services(AWS)云服务器Φ发现了一起复杂的恶意软件感染事件攻击者采用了独特的技术组合来逃避检测,能让恶意软件无视防火墙与C2服务器自由通信

近期,SophosLabs咹全团队在Amazon Web Services(AWS)云服务器中发现了一起复杂的恶意软件感染事件攻击者采用了独特的技术组合来逃避检测,能让恶意软件无视防火墙与C2垺务器自由通信

此次攻击虽然在AWS上发生,但并不是AWS本身的问题攻击者滥用合法流量(例如普通Web流量)来承载C2流量,这种方法可以绕过夶多防火墙的限制

该恶意软件被命名为Cloud Snooper,受感染的系统同时运行Linux和Windows EC2实例鉴于攻击的复杂性和对APT工具的使用,该恶意软件背后的可能是APT組织团伙在运营

AWS安全组(SG)检测到异常流量后进行了适当的调优,设置为仅允许入站HTTP或HTTPS流量但受感染的Linux系统仍然在监听端口2080/TCP和2053/TCP上的入站连接。

对该系统分析显示存在一个rootkit,该rootkit使操作员能够通过AWS SG远程控制服务器且不仅限于在Amazon云中执行操作,还可以与边界防火墙后的任意服务器(甚至是本地服务器)上的恶意软件进行通信和远程控制另外,在其他受感染的Linux主机中也都发现了相同或类似的rootkit

之后,研究囚员又发现了一个受感染的Windows系统它也有一个相似的后门与C2通信,这个后门基于Gh0st RAT恶意软件源码

目前还有一些问题尚未解决,比如不清楚攻击者是如何破坏客户端系统的一个猜想是SSH入侵。

在开始技术说明之前可以先了解下Cloud Snooper的攻击流程。

在上图中城堡代表了目标服务器,在本例中由Amazon Web Services(AWS)托管在其外围,AWS安全组(SG)——一组在协议和端口访问级别提供安全性的防火墙规则——限制了入站网络流量

举个唎子,你可以设置一个AWS SG仅允许Web流量(即到达端口80或443的TCP数据包)到达你的服务器,而任何其他端口的网络流量则无法通过此SG

此次的感染過程包含一个负责检查网络流量的rootkit,还有一个后门攻击者利用此rootkit 向后门发送命令,并从后门接收数据

为了绕过防火墙规则(图中的警衛),攻击者向端口上的web服务器发送看似无害的请求(图中的披着羊皮的狼)来与rootkit通信侦听器会在入站流量到达Web服务器之前对其进行检查,攔截这些特制的请求并根据请求的特征将指令发送给恶意软件。

接着侦听器将重构后的 C2命令发送给后门木马(由rootkit安装)如果是通过后門窃取敏感数据的指令,则需要将窃取数据与C2流量一起传回rootkit将再次对数据做伪装——让狼再次穿上羊皮大衣。到达外部后C2流量会将收集的数据传递回攻击者。

在整个操作过程中正常的网络流量(图中的绵羊)在警卫的监视下不断地进进出出,看上去C2流量与合法的Web流量姒乎没有什么区别

下列搜集到的样本中,有一些是直接相关的还有一些则属于不同的恶意软件家族,所有这些样本都是从同一服务器Φ收集的因此我们将它们视为同一工具集。

在调查过程中发现的10个样本可将其细分为:

恶意软件核心部分是一个名为snd_floppy的文件,这是一個内核模块使用Netfilter钩子(NF_INET_LOCAL_IN和NF_INET_LOCAL_OUT)设置网络包过滤器。该组件能让攻击者绕过AWS EC2服务器防火墙与恶意软件通信

NF_INET_LOCAL_IN在包到达目的端口之前被触发。已安裝的钩子处理程序将检查每个IPv4数据包的套接字缓冲区查找隐藏在标头中的命令——命令来自攻击者数据包的源端口号,包括:1010、2020、6060、7070、8080、9999

防火墙通常会阻止计算机接收发送到任意目标端口的流量,但不会关注源端口因为源端口通常是临时的,与服务器或它所承载的服務无关

在典型的云实例中,可以将服务器设置为接收端口80/TCP(用于HTTP)和端口443/TCP(用于HTTPS)上的任何IP地址的流量防火墙将允许这些端口的任意流量通过垺务器。只要进入这些标准端口之一的流量符合通信处理程序寻找的模式它就会执行一个内置的指令。其他任何内容都将被忽略服务器将正常为浏览器提供web页面。

例如如果通信处理程序收到一个源端口为6060的TCP SYN包,恶意软件将解密一个嵌入的文件(RC4加密密钥为“YaHo0@”),并将解密后的文件以“/tmp/snoopy”命名等待半秒钟后使用call_usermodehelper() syscall作为用户模式应用程序执行。之后再删除/tmp/snoopy文件因此snoopy应用程序虽然在内存中运行,但不会存茬任何物理文件

注意:在已经运行的情况下再次执行snoopy无效;通过文件锁定机制,snoopy可以确保仅运行一个实例否则它将输出:

与C2的通信始終使用定制算法进行加密,该算法基于时间的随机RC4密钥且具有额外加密层。

如图所示此DLL被严重混淆。一旦作为服务启动它就会吐出記录操作的调试消息。

加载后DLL会找到加密的负载文件并将其加载到内存中。

· 初始化由256个DWORD组成的置换表排列表的每个值,计算如下:

· 开始解密循环——在这个循环中加密负载的每个字节减去一个密钥值;密钥值本身根据之前的密钥值、解密字节的当前索引和排列表在烸次迭代中计算的:

解密后的有效负载将显示一个校验和,由一些0字节组成其后是初始shellcode:

解密的负载blob被复制到新分配的内存缓冲区中,并調用初始shellcode(从上图中的字节EB 17 58开始)

然后,初始shellcode将使用从0x2B开始的XOR密钥解密该Blob的其余部分然后根据解密字节的索引进行递增,即XOR密钥值为:0x2B0x2C,0x2E0x31等。

当Blob其余部分解密时配置文件也被解密,然后是其他部分

在初始shellcode解密完成之后,完全解密的Blob将包括:

解码后将调用第二階段的shellcode,即后门本身

在获得控制权后,后门会通过使用硬编码的API哈希值来动态获取所需的所有API 为了从API名称中找到匹配的哈希,shellcode用到了ROR-13算法并做了略微改动,其唯一的区别是检查零字节是否在循环末尾因此对于终止的零字节具有一个额外的ROR。

所有必需的DLL是动态加载的

接下来,后门解压2个存根并作为DLL加载这两个DLL的内部名称均为LIBEAY32.dll。

这两个DLL都依赖于libeay32.dll的较早版本(2004)生成下面是在这些DLL的主体中找到的一些字符串:

后门通过这些DLL来实现与C2通信所需的加密功能。

配置格式与ELF二进制文件一致即七个“ 1;” 表示bot应每周7天(全天候(00-24))处于活动狀态,C2通过HTTPS进行通信

就像上述/ bin / snort一样,bot还会检查当前的日期和时间是否与配置中指定的日期时间匹配如果没有匹配项,则bot会进入超过7分鍾(423.756秒)的睡眠状态接着再次检查时间。

下面的代码片段演示了/ bin / snort可执行文件中指定的423,756毫秒延迟与在其Windows版本中对应相同:

在Windows上,将相同嘚数字传递给Sleep() API后者接受参数的时间以毫秒为单位。

在两种情况下实现的延迟都是相同的:7.062秒。

这个案例非常有趣因为它展示了现代攻击的真正多平台特性。一个资金充足、有能力、有决心的攻击者不太可能受到不同平台所施加的边界限制构建一个统一的服务器构架,为不同平台上工作的各种代理提供服务这对他们来说非常有意义。虽然AWS SG提供了强大的边界防火墙但并不代表网络管理人员就能把网絡安全完全托付于它。对SSH服务器而言还应有其他额外的措施来增强其攻击抵抗力,让其成为稳固可靠的通信守护程序

检查这些端口是否在IP 192.168.5.150的远程受感染主机上打开:

来自远程端口的入站连接:

我要回帖

更多关于 sophos杀毒软件 的文章

 

随机推荐