来自 资讯 2021-05-02 16:06 的文章

国内高防cdn_ddos安全防护_怎么防

国内高防cdn_ddos安全防护_怎么防

Exploit kits go cryptomining–2018年夏季版概述这是我们第九版的季度漏洞工具包活动综述系列,我们在其中分享了我们对最近漏洞工具包活动的分析。漏洞工具包(EK)是一种可快速部署的软件包,旨在利用web浏览器中的漏洞并向受害者的计算机发送恶意负载。EKs的作者提供收费服务,为其他恶意参与者分发恶意软件。虽然它已经在下降,但仍然有大量的EK活动,而且EK运营商继续采用新技术将受感染的机器货币化。由于加密货币的普及和价值的增加,我们看到EK运营商将他们的重点从勒索软件转移到加密矿工,最终有效载荷在多个实例中产生收入。在这篇综述中提到的所有攻击工具都被cryptominer恶意软件感染了用户。我们也看到了越来越多的用户使用MalsingKits直接攻击Vertian。以下是我们在上一季度观察到的EK活动的亮点。RIG Exploit Kit RIG EK已经激活一段时间了。尽管有许多其他的ek可以进入和退出威胁环境,但RIG一直坚持在现场,cc防御ddos防御,并随着时间的推移采取了改变。最近的变化包括CVE-2018-8174和使用cryptominer有效载荷将受感染资源货币化。我们看到的点击主要来自盗版电影流媒体或成人网站上的恶意广告。RIG EK活动命中率如下所示。图1:RIG EK从2018年5月1日到2018年8月5日的点击率地理分布如下所示。图2:RIG-EK命中地理分布RIG-EK重定向主要来自恶意广告活动。这些攻击并不局限于任何特定的地理位置。最近的RIG-EK周期可以在下面看到。图3:rigek Fiddler capture错误页面重定向如下所示。图4:Malvertising redirect加载一个模糊的JavaScript,如下所示。图5:Malvertising redirect obfuscated(popunder)deobfloused脚本如下所示。图6:Malvertising redirect deobfuscated(popunder)此重定向加载包含两部分的指纹页面:一部分是JavaScript,用于收集浏览器信息,另一部分是模糊JavaScript,负责将信息转发到RIG EK登录页服务器。指纹脚本的片段如下所示。图7:浏览器指纹识别负责转发信息的模糊JavaScript片段如下所示。图8:fingerprinting页面上的模糊JavaScript重定向这个重定向的deobfoused代码如下所示。图9:指纹识别页面上的DeobFloused重定向登录页包含针对VBScript内存损坏漏洞的攻击代码CVE-2018-8174和CVE-2016-0189。登录页上有三个脚本。第一个漏洞利用了最近的CVE-2018-8174漏洞,第二个漏洞利用了CVE-2016-0189,第三个漏洞是基于Flash的漏洞攻击。我们可以看到下面的CVE-2018-8174。图10:CVE-2018-8174在RIG EK登录页上,通过删除代码,我们可以看到VBScript攻击代码,ddos攻击防御硬件,这与GitHub上发布的CVE-2018-8174的PoC相同,只是对PoC进行了少量修改。图11:CVE-2018-8174代码比较下面的代码片段显示了使用CVE-2016-0189的登录页部分。图12:CVE-2016-0189 RIG EK登录页上的漏洞攻击代码第三个针对Flash漏洞的脚本如下所示。图13:rigek登录页Flash exploit调用当我们对脚本进行除臭时,我们可以观察到对Flash文件下载的调用,如下所示。图13:RIG EK登录页Flash exploit调用此周期的有效负载是特洛伊木马程序。本季度,我们还看到了加密矿工和GandCrab勒索软件的有效载荷被RIG EK下载。Grandoft Exploit Kit Grandoft是今年早些时候重新出现的一个漏洞工具包,当时它被发现提供GandCrab勒索软件。在上一季度,我们还看到了Grandoft EK提供加密挖掘有效负载的实例。Grandoft EK活动点击率如下所示。图15:2018年5月1日至2018年8月5日,Grandoft EK点击量的地理分布如下所示。图16:Grandoft EK热图Grandoft EK重定向主要来自于恶意广告活动。我们经常看到威胁参与者利用相同的资源根据用户会话信息触发不同的攻击链。下面可以看到这样一个例子,ddos防御360,"freedatingvideo[.]info"将用户重定向到RIG EK或grandoft EK gates或基于web的加密网站,作为同一个恶意广告活动的一部分。图17:Grandoft EK cycle Grandoft EK的作者还将CVE-2018-8174 VBScript内存损坏漏洞利用漏洞攻击添加到登录页。以下是使用CVE-2018-8174漏洞攻击的登录页面的片段。图18:CVE-2018-8174 Grandoft EK登录页上的漏洞代码此周期中看到的有效负载是GandCrab勒索软件。KaiXin Exploit Kit KaiXin EK在2017年最后一个季度非常活跃,从那时起,我们没有观察到KaiXin EK有多少点击。但是最近,我们在野外捕捉到了一个kaixinek的例子。最近,除此之外,还使用了源自GitHub上发布的PoC的CVE-2018-8174漏洞攻击。KaiXin漏洞工具包周期的Fiddler捕获如下所示。图19:KaiXin漏洞工具包Fiddler capture登录页面由两个JavaScripts组成:一个加载对漏洞攻击网页的调用,另一个是重定向到指纹站点,该站点将受害者的系统信息转发回服务器。我们可以看到攻击者在登录页面上使用汽车品牌作为变量名,这与过去的行为一致。图20:KaiXin exploit kit登录页登录页加载插件以检测JavaScript"jquery.js"."下面可以看到这段代码。图21:KaiXin EK jquery伦德夫.html下载的文件包含从GitHub上共享的PoC派生的CVE-2018-8174攻击代码。下面显示了此代码的一个片段。图22:CVE-2018-8174在KaiXin exploit kit中,页面被如下所示的有效负载下载调用严重混淆。图23:负载下载的模糊JavaScript图24:第一层JavaScript deobforcastion图25:Second layer JavaScript deobforcastion在deobflusion期间,我们看到加载的VBScript与GitHub上可用的PoC类似,KaiXin也采用了它,就像grandoft EK和RIG EK一样。图26:CVE-2018-8174在KaiXin exploit kit中,此周期的有效负载为特洛伊木马(MD5:e28d993fd4ae1fb71d645159f726f570)。其他漏洞工具包Terror EK在2017年底活跃,自2018年初以来活动减少,本季度我们没有看到恐怖EK的任何活动。Magnitude EK虽然很活跃,但在一个非常有限的地理区域内运作,并通过恶意广告活动提供服务。本季度,ddos防御设置udplinux,我们还没有看到Magnitude EK登录页面或gates的直接点击,但我们继续看到那些将用户导向Magnite EK gates的恶意广告的点击率。结论开发包可以有效地在用户不知情的情况下感染受害机器。虽然趋势是用勒索软件感染用户,期望少数用户付费访问他们的数据,但趋势已转向使用加密矿工和特洛伊木马窃取用户的数据,并利用他们的系统资源为攻击者挖掘加密货币。攻击者经常通过混淆源代码或在EK中注入新的攻击代码来改变他们的技术,安全研究人员通过跟踪EK行为的变化来分析和阻止新的威胁。为了帮助避免漏洞工具包的感染,用户应始终阻止不受信任的第三方脚本和资源,并避免单击可疑广告。使浏览器插件和web浏览器保持最新补丁程序的最新状态,ddos防御腾讯,有助于防范漏洞工具包针对的常见漏洞。Zscaler ThreatLabZ研究团队已经确认了这些漏洞工具包和后续有效负载的覆盖范围,确保了使用Zscaler云安全平台的组织的保护。