简单的定时DDOS攻击样本分析

最新推荐文章于 2025-04-10 17:44:15 发布
原创 最新推荐文章于 2025-04-10 17:44:15 发布 · 489 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文详细分析了一个简单的定时DDoS攻击样本,探讨了其如何持久化驻留、保持单例运行、检测主机特征,以及其目的——对特定网站发起DDoS攻击。样本通过创建服务并利用定时器,在指定时间启动多个线程进行网络攻击,导致目标网站崩溃。

简单的定时DDOS攻击样本分析

本次分析的样本来自《恶意软件分析》课后实验–Lab-7-01中的程序,将样本载入到DIE内查壳,如下

在这里插入图片描述
程序无壳,使用的VC++6.0编写,看到编译时间为2010/09/30

在这里插入图片描述

说明这个样本已经很老很老了。将样本载入到IDA内分析相关功能,来到入口函数Main出,程序首先调用了StartServiceCtrlDispatcherA启动了一个名为MalService的服务,接着服务会执行函数sub_401040,启动完成服务后,会再次调用函数sub_401040,如下

在这里插入图片描述
下面开始围绕如下几个问题开始分析

  • 如何持久化驻留
  • 如何保持任意时刻的单例运行
  • 如何检测程序运行后基于主机内的特征
  • 程序的目的是什么
  • 程序是否能正常结束

如何持久化驻留

首先看到服务启动后,会调用函数sub_401040,进入到函数内分析,首先调用函数Op

最低0.47元/天 解锁文章
[网络安全自学篇] 三十五.恶意代码攻击检测及恶意样本分析
杨秀璋的专栏
12-26 1万+
本文主要结合作者的《系统安全前沿》作业,相关论文及绿盟李东宏老师的博客,从产业界和学术界分别详细讲解恶意代码攻击溯源的相关知识。在学术界方面,用类似于综述来介绍攻击追踪溯源的不同方法;在产业界方面,主要参考李东宏老师从企业恶意样本分析的角度介绍溯源工作。关于攻击溯源的博客和论文都比较少,希望这篇文章对您有所帮助,如果文章中存在错误或理解不到位的地方,还请告知作者与海涵~
[系统安全] 五十八.恶意软件分析 (10)利用火绒安全实现恶意样本家族批量标注(含学术探讨)
杨秀璋的专栏
04-26 1119
前文介绍了利用MS Defender实现恶意样本家族批量标注。这篇文章将讲解如何利用火绒实现恶意样本家族批量标注,在通过VS、VT采集批量样本后,通常需要样本家族标注,如何准确识别家族类别至关重要,其将为后续的恶意软件家族分类或溯源提供帮助。在此感谢李师弟热心的指导和帮助,基础性基础,希望您喜欢,且看且珍惜。
黑客技术:计时攻击 TIMING ATTACKS
CG国斌的博客
08-03 9507
相信刚看到这段源码的人会感觉挺奇怪的,这个函数的功能是比较两个字符串是否相等,如果要判断两个字符串是否相等,正常人的写法应该是下面这个样子的(来自JDK8 的 `String.equals()`-有删减):
定时攻击简介
xsgnzb的专栏
03-07 743
定时攻击(Timing Attack)是一种利用计算机系统中对比时间来获取敏感信息的攻击方式。这种攻击方式利用了系统比较两个值的操作需要一定的时间的特点,通过不断地改变一个值的位数并比较两个值的时间差,逐步获取敏感信息。通常,定时攻击可以用于窃取密码、令牌、加密密钥等敏感信息。定时攻击的主要原理是利用系统的时间差异,比较两个值的时间差异可以告诉攻击者哪一个值的某一位比较接近真实值。在密码验证中,攻击者可以通过逐位比较密文和明文的时间差,逐步猜测出密码的每一位。
DDoS木马-Tsunami家族样本分析
人饭子的博客
11-06 674
#sidebar { position: absolute; top: 0; left: 0; bottom: 0; width: 250px; padding: 0; margin: 0; overflow: auto } #page-container { position: absolute; top: 0; left: 0; margin: 0; padding: 0; bord...
DDOS网络攻击解析
hoak的博客
12-28 468
DDOS攻击 DOS攻击不是说攻击DOS系统,或者通过DOS系统攻击。DOS攻击全称为Denial of service,即拒绝服务,其主要攻击目的是使计算机硬件或网络宽带资源耗尽从而造成服务器无法提供正常服务,而DDOS攻击就是Distributed denial of service,即分布式的拒绝服务攻击攻击者利用多台服务器资源对同一个目标服务器发起攻击,从而使目的服务器快速陷入崩溃。 不...
npm 新型定时攻击或导致软件供应链安全风险
分享 GPU 管理与大模型推理相关技术实践
10-20 610
原标题:原文链接:据 Beepingcomputer 消息,安全研究人员发现了一种npm定时攻击,它会泄露私有软件包的名称,因此攻击者可以基于此公开发布恶意克隆软件包,以欺骗开发者使用它们。该攻击的原理是利用在开发者搜索私有软件包时与库中的软件包相匹配时返回“404 Not Found”错误的微小时间差。虽然响应时间的差异只有几百毫秒,但这足以确定一个私有软件包是否存在,进而对包进行冒充。企业为内部项目和某些软件产品创建私有软件包,以最大限度地减少其开发团队陷入错别字攻击的风险,并保密代码和功能。
DDoS Perl IrcBot v1.0分析复现与处置
小猪乔治
04-28 2847
DDoS Perl IrcBot v1.0分析复现与处置 前言 最近遇到一个基于PERL的IRC后门,通过IRC协议与victim交互,经过简单分析,搭建环境复现后门的运行流程及深入分析它的原理及行为,最终目的是根据分析结果给出了后门一些处理办法,供大家学习和参考。 IRC IRC是Internet Relay Chat 的英文缩写,中文一般称为互联网中继聊天。它是由芬兰人Jar...
[系统安全] 五十七.恶意软件分析 (9)利用MS Defender实现恶意样本家族批量标注(含学术探讨)
杨秀璋的专栏
04-18 1055
前文介绍了IDA Python配置过程和基础用法,然后尝试提取恶意软件的控制流图(CFG)。这篇文章将讲解如何利用MS Defender实现恶意样本家族批量标注,在通过VS、VT采集批量样本后,通常需要样本家族标注,如何准确识别家族类别至关重要,其将为后续的恶意软件家族分类或溯源提供帮助。在此感谢李师弟热心的指导和帮助,基础性基础,希望您喜欢,且看且珍惜。
DDoS攻击详解
不忘初心,护天下安全!
11-29 3813
DDoS攻击 DDoS(Distributed DoS)攻击是DoS攻击的一种延伸,它威力巨大是因为其协同攻击能力。黑客使用DDoS攻击工具,可同时控制众多傀儡机,向单点目标发动攻击,并结合使用各种传统DoS攻击。 对DDoS攻击,至今没有一个很好的防御方法。 DDoS攻击模型的四种角色: 黑客(Intruder/Attacker/Client)     黑客操作主机的接口,向Master发...
攻击样本 != 数据增强样本
weixin_43301333的博客
07-06 695
最近逛了一下某乎,看到有篇讲文本数据增强的扯了一堆文本攻击的方法,这里还是想吐槽一下,这两个完全不是一个东西 攻击样本和增强样本完全不一样,前者更加偏向于揭露,后者偏向于弥补;攻击样本抓住了模型弱点,让模型混乱,但用它retrain可能并不会让模型性能有很高提升;增强样本抓住了模型的薄弱,弥补模型未曾“看到过的”数据,但并不一定具有攻击性。 究其根源,两者训练的时候目的不同,其功效的侧重自然也不同,只不过两者有一部分交集而已。 至于为什么现在有很多人会想着用攻击样本加到模型来提升效果(比方说在天池等各大竞赛
带你了解DDOS防御中流量清洗的技术方法
cilin7010的博客
07-10 3341
遇见DDoS攻击的时,目前的防护技术中避免不了的会出现流量清洗过滤等词,客户都会很疑惑流量清洗,是怎么清洗的,会不会把正常的访问请求一起过滤清洗掉呢?这是站在客户角度最关心的一个问题,这种想法很正常,因为谁都不想损失客户嘛。...
恶意代码分析实战实验Lab 7-1
m0_37442062的博客
05-06 811
Lab 7-1静态分析IDA Pro1.当计算机重启之后,这个程序如何保证它继续运行(达到持久化驻留)?2.为什么这个程序会使用一个互斥量?3.可以用来检测这个程序的基于主机特征是什么?4.检测这个恶意代码的基于网络特征是什么?5.这个程序的目的是什么?6.这个程序什么时候完成执行?参考 静态分析IDA Pro 字符串: 可以看到有一个 MalService,可以推测该程序创建了一个系统服务。 HGL345暂定。网址信息http://www.malwareanalysisbook.com用户代理信息Int
关于DDoS攻击的一些误区注意事项
LuHai3005151872的博客
06-24 400
DDOS攻击,大部分人的认知来源于新闻报道。新文报道这种方式在普及DDoS危害性的同事,也会不自觉地引入一些误区。例如,针对国际知名企业的攻击更受媒体关注,这导致很多人会认为中小网站不会遭受DDoS。此外,报道中经常将攻击流量的数字放在醒目的位置,提醒读者这次攻击的严重性,然而事实上流量的大小并不等同于危害的程度。下面墨者安全列出了关于DDoS常见的几个误区。 误区1:只有“黑客"才能发起DDoS “只有’黑客,才能发起DDoS"这个问题有些类似“只有士兵才能持枪射击”。技术的发展必然会促进分工,当前枪
linux ddos恶意软件分析
weixin_34006965的博客
03-08 340
winsyk · 2015/06/25 10:180x00好久没写文章了,正好吃完饭回来习惯性的翻翻twitter,一篇文章写的真是行云流水不翻译来真是可惜。废话不多说,这篇文章是一个针对恶意软件"Linux/XOR.DDoS" 感染事件分析,该恶意软件试图感染真正的linux服务器。原文:http://blog.malwaremustdie.org/2015/06/mmd-0033-2015-l...
Dos与DDOS介绍及实例
whoim_i的博客
11-07 5082
目录一、拒绝服务攻击(Dos)1、拒绝服务攻击的分类1.滥用合理的服务请求2.制造大量无用数据3.利用传输协议缺陷4.利用服务程序的漏洞2、拒绝服务攻击的原理3、常见拒绝服务攻击行为特征与防御方法1.死亡之 Ping(Ping of death)攻击2. SYN 洪水(SYN Flood)3.Land 攻击4.Smurf 攻击5.UDP 洪水(UDP Flood)6.IP 源地址欺骗 DOS 攻击...
恶意代码分析实战 --- 第七章分析恶意windows程序
abelxu
05-21 861
Lab7-1 程序分析 查看导入表,存在服务相关API,静态分析需要关注服务相关代码。通过存在互斥体的创建。最后两个WININET的api会打开URL。 主函数执行 StartServiceCtrlDispatcher设置"Malservice"对应的回调函数 相关API BOOL WINAPI StartServiceCtrlDispatcher( _In_ const SERVICE_TABLE_ENTRY * lpServiceTable ); 结构体:服务名|回调函数 typedef st
恶意代码分析实战Lab0701
ACdream
02-25 584
运行程序,发现程序持续运行中。。。一直黑屏在跑。在IDA中可以看到是有Sleep函数问题1:如何实现持久化驻留程序运行过程中,会开启一个名为MalService的服务运行net start查看机器当前开启的服务,惊人发现~服务没有开起来,可能是哪个地方姿势不对吧问题2:程序的互斥量找到mutexName是个常量字符串:HGL345说明该程序只能运行一个实例同时打开多个,在几秒钟之内,除了第一个的以...
模拟的DDoS攻击网络数据样例,包含正常流量与不同类型攻击的对比数据
最新发布
风一样
04-10 239
包大小符合多峰分布(如HTTP请求包小,视频流包大)、TCP标志位组合正常(SYN-ACK比例合理)、源IP地理分布分散。会话持续时间长(平均>10秒)、包间隔稳定(IAT标准差低)、上下行比例均衡(约1:1)流量速率呈时段性波动(如工作日高峰)、协议类型分布稳定(HTTP/TCP为主)>10,000包/秒(流量型) / 500-2000半开连接/秒(协议型)单峰集中在64字节(UDP洪水)或随机分布(SYN洪水)低(伪造IP段集中)或极高(僵尸网络真实IP分散)80%会话<1秒(攻击流量无完整握手)
2021年全球DDoS攻击威胁分析报告
《2021年全球DDoS威胁报告》是一份深入分析网络攻击手段DDoS(分布式拒绝服务攻击)在2021年的发展趋势、攻击特点以及防御策略的详细文档。DDoS攻击是网络攻击中常见的一种类型,其原理是通过控制多台计算机(“僵尸...
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值