五月婷婷丁香性爱|j久久一级免费片|久久美女福利视频|中文观看在线观看|加勒比四区三区二|亚洲裸女视频网站|超碰97AV在线69网站免费观看|有码在线免费视频|久久青青日本视频|亚洲国产AAAA

• NvDisplai 惡意樣本調(diào)查分析
• 事件背景
• 攻擊調(diào)查
• 樣本攻擊行為
• C2 通信過(guò)程
• 域名調(diào)查
• 樣本代碼分析
• IOC

近日，某用戶在日常使用計(jì)算機(jī)時(shí)，發(fā)現(xiàn)設(shè)備上網(wǎng)絡(luò)異常連接以及不明進(jìn)程。研究人員對(duì)該主機(jī)進(jìn)行了取證分析，發(fā)現(xiàn)主機(jī)感染了一種針對(duì)Web服務(wù)發(fā)起DDos（分布式拒絕服務(wù)）攻擊的惡意程序。

定位受害者主機(jī)上的惡意文件，磁盤上有3個(gè)相關(guān)聯(lián)文件：~1.log、desktop.ini、NvDisplai.exe

分析~1.log文件，發(fā)現(xiàn)了異常行為，目標(biāo)執(zhí)行了下載操作，下載yoy001.ini并持久化到用戶臨時(shí)目錄下的desktop.ini

繼續(xù)分析desktop.ini文件，主要功能就是下載惡意文件并保存到NvDisplai.exe

NvDisplai.exe 程序執(zhí)行后會(huì)先隱藏窗口，在temp目錄創(chuàng)建一個(gè)空文件independent.lock，然后與C2服務(wù)器建立連接，等待服務(wù)端下方攻擊指令。

首先惡意進(jìn)程向服務(wù)端發(fā)送"ok"，服務(wù)端回復(fù)"1337"，成功建立連接，之后服務(wù)端就可以下發(fā)控制指令。

• 控制指令

  指令	行為
  ok	建立連接
  .stop	全部停止攻擊
  .check	對(duì)列表中ID停止攻擊
  .browser/.cookie	針對(duì)瀏覽器字段的攻擊
  .http/.http_fp/.http_dl	針對(duì)http協(xié)議的攻擊
  .post	Post請(qǐng)求攻擊
  .ws	針對(duì)websocket的攻擊

測(cè)試連接到中控域名，中控仍處于存活狀態(tài)，有下發(fā)攻擊指令（樣本比較活躍，測(cè)試了幾分鐘，發(fā)起了多次攻擊）

中控域名whoami查詢，域名被托管在GoDaddy（GoDaddy是從事互聯(lián)網(wǎng)域名注冊(cè)及網(wǎng)頁(yè)托管的上市公司 - wiki），處于有效狀態(tài)

域名解析的IP位于美國(guó)加利福尼亞州圣何塞，所屬于美國(guó)PEG TECH INC.旗下運(yùn)營(yíng)商IP

對(duì)IP進(jìn)行反查，發(fā)現(xiàn)有3個(gè)域名處于存活狀態(tài)，可以正常通信

1. 程序執(zhí)行后與C2建立連接

2. main_handleCommands 用來(lái)接收控制指令處理 .stop 和 .check 指令，用來(lái)結(jié)束攻擊

   

3. main_NewAttack 開始構(gòu)造攻擊數(shù)據(jù)包比對(duì)控制命令名，以及參數(shù)個(gè)數(shù)，構(gòu)造對(duì)應(yīng)的攻擊包