[发明专利]一种基于云函数免杀及防溯源的攻击方法

权利要求书

1.一种基于云函数免杀及防溯源的攻击方法，其特征在于：包括以下步骤：

S1：建立落脚点；

S2：劫持维持权限；

S3：命令并控制服务器通信中隐藏真实的IP地址信息；

S4：检查磁盘是否小于60G，内存是否小于4G和CPU核心数量是否小于4；

S5：检查运行的进程名；

S6：检查下是否存在以下虚拟机配置文件：

C:\windows\System32\Drivers\Vmmouse.sys

C:\windows\System32\Drivers\vmtray.dll

C:\windows\System32\Drivers\VMToolsHook.dll

C:\windows\System32\Drivers\vmmousever.dll

C:\windows\System32\Drivers\vmhgfs.dll

C:\windows\System32\Drivers\vmGuestLib.dll

C:\windows\System32\Drivers\VBoxMouse.sys

C:\windows\System32\Drivers\VBoxGuest.sys

C:\windows\System32\Drivers\VBoxSF.sys

C:\windows\System32\Drivers\VBoxVideo.sys

C:\windows\System32\vboxdisp.dll

C:\windows\System32\vboxhook.dll

C:\windows\System32\vboxoglerrorspu.dll

C:\windows\System32\vboxoglpassthroughspu.dll

C:\windows\System32\vboxservice.exe

C:\windows\System32\vboxtray.exe

C:\windows\System32\VBoxControl.exe；

S7：检查鼠标在程序运行的10秒内是否移动，键盘有无输入，开机时间是否超过1小时；

S8：反调试阶段，检查BeingDebugged标志是否为1；

S9：生成免杀代码模块，将shellcode进行base64编码后随机生成等长密钥k进行异或运算，再进行base64编码，之后储存在服务器等候云函数发起请求；

S10：加载免杀代码模块，内置密钥k，先请求一块不可执行但可写的内存备用，向云函数服务器发起请求获取核心恶意代码，进行base64解码后进入循环拖慢解密过程，每异或一个字符便随机生成一个数n，其中50n100，如果n mod3＝1，则生成n个随机数进行排序，并停止程序运行1秒，直到完全解密结束，进行base64解码后写入先前分配的内存，再将内存属性变为可执行，接着执行该内存内容；

S11：维持权限阶段中生成动态链接库DLL的流程；

S12：在云函数中设置触发器，实现流量中转，即云函数将监听所有请求，并将请求流量转发至命令与控制服务器中，并将命令与控制服务器的返回包转发至发起请求的目标。

2.根据权利要求1所述的一种基于云函数免杀及防溯源的攻击方法，其特征在于：S1步骤中的落脚点是根据云函数代理，并通过远程加载免杀的shellcode而建立的。

3.根据权利要求1所述的一种基于云函数免杀及防溯源的攻击方法，其特征在于：S2步骤中的劫持维持权限是通过动态链接库DLL操作的。

4.根据权利要求1所述的一种基于云函数免杀及防溯源的攻击方法，其特征在于：S3步骤中是通过借助云函数的代理功能实现的。