来自 资讯 2021-05-03 01:17 的文章

ddos防火墙_马云神盾局_零误杀

ddos防火墙_马云神盾局_零误杀

提供多个恶意软件有效负载的受损Wordpress站点在日常日志监控过程中,我们观察到许多有趣的威胁事件。一个这样的事件导致了一个被破坏的WordPress站点活动,高防cdn的目标客户是,被发现服务于多个恶意软件家族,包括Upatre/Hencitor/extract-Xtreme RAT/Vawtrak,这些恶意软件的url都遵循特定的模式。观察到受感染的WordPress站点,包括带有"/1.php"的URL?r""新兴威胁"(ET)此前曾在2014年8月12日发布了该活动的Snort签名。从那以后,ddos云防御发展历程,我们一直在持续监控与之相关的活动,以下是ET.snort signature alert tcp$HOME_NET any->$EXTERNAL_NET$HTTP_PORTS发布的snort签名(msg:"ET CURRENT_EVENTS probably恶意下载自e-mail link/1.php";流程:已建立,到服务器;乌里伦:8;内容:"/1.php?r"http\u uri;内容:!"Referer | 3a 20 |"http|头;flowbits:设置,等。开发着陆; 类别:不良未知;sid:2019894;版次:1;)以下是观察到的被破坏的网站,它们被发现为多个恶意软件家族服务。被破坏的wordpress网站airlessspraysupplies[.]com/wp includes/1[.]php?r altero[.]be/1[.]php?目录号[alzina.]?r angeladoesfood[.]com/wp admin/1[.]php?r apsmiles[.]com/wp content/themes/rfx/1[.]php?r架构[.]web[.]auth[.]gr/1[.]php?r augustgifford[.]com/wp admin/1[.]php?破产软件[.]com/wp content/themes/classic/1[.]php?r bernie[.]jshall[.]net/wp content/themes/twenty12/1[.]php?r beta[.]pescariusports[.]ro/images/1[.]php?r blackwellanddenton[.]com/components/com_contact/1[.]php?博客[,冰盾软件防御ddos多少g,]longboardsiccream[.]com/wp content/plugins/1[.]php?博客[.]ridicijednotky[.]cz/wp content/plugins/simple4us/1[.]php?r blog[.]topdelaslondon[.]com/wp content/uploads/1[.]php?r cartorioalbuquerque[.]com[.]br/images/1[.]php?r climatechange[.]mobi/images/1[.]php?[core[]r.]?r couponshare[.]me/1[.]php?r dannygill[.]co[.]uk/wp content/plugins/simple4us/1[.]php?r dlaciebie[.]org/wp admin/1[.]php?r geotall[.]az/en/ru/engine/editor/scripts/common/codemrror/mode/xml/1[.]php?r kba1f9684c70[.]nazwa[.]pl/images/1[.]php?r linkleads[.]vn/1[.]php?r lionel[.]my/wp content/plugins/akismet/1[.]php?r livedoor[.]eu/1[.]菲律宾比索?r ludovicharollais[.]org/wp admin/1[.]php?r m11[.]mobi/images/1[.]php?r matthewkarant[.]com/wp content/themes/twentinine/1[.]php?r mcymbethel[.]com[.]ar/modules/mod\u ariimagesslider/1[.]php?r merklab[.]eu/1[.]php?r mitoyotaseagarota[.]com/components/com_banners/1[.]php?r mlmassagetherapy[.]com[.]au/wp content/uploads/1[.]php?r监控[.]sensomedia[.]hu/1[.]php?r newwww[.]r11mis[.]be/images/1[.]php?r odelia coaching[.]co[.]il/wp content/plugins/google sitemap generator/1[.]php?r odelia coaching[.]co[.]il/wp content/plugins/google sitemap generator/1[.]php?r osp[.]ruszow[.]liu[.]pl/images/1[.]php?r pms[.]isovn[.]net/images/1[.]php?r prodvizhenie sajta[.]com/images/1[.]php?r redmine[.]sensomedia[.]hu/1[.]php?r salihajszalon[.]hu/1[.]菲律宾比索?r sonicboommusic[.]com[.]au/components/com_banner/1[.]php?r sparkledesign[.]ro/1[.]php?r thebestcookbooks[.]co[.]uk/wp content/plugins/1[.]php?r thefoodstudio[.]co[.]nz/wp content/themes/food cook/1[.]php?r thietkekientruc4[.]vn/1[.]php?财务主管[.]com/wp includes/pomo/1[.]php?r tsv penzberg[.]de/wp admin/1[.]php?r涡轮营销团队[.]com/1[.]php?r tusengangerstarkare[.]ingelacarin[.]se/wp admin/1[.]php?r twobyOne[.]com/1[.]php?r xhmiastokyma[.]gr/1[.]php?r你的永久记忆[.]co[.]uk/1[.]php?r这些受到攻击的WordPress站点可能已被Exploit Kit(EK)作者用作提供恶意软件的投放站点。另一个潜在的攻击媒介可能涉及电子邮件垃圾邮件。下表显示了我们看到的不同类型的恶意软件从上述被破坏的网站。发现所有恶意软件都被压缩了。ZIP MD5 ZIPFILE名称2f225283c66032c9f7dcb44f42697246传真:20141204 U 385。pdf.zip文件6696527bfda97b1473d1047117ded8d6发票.pdf.zip93babef06bfd93bcbb5065c445fb57d4标签U 08122014 U 23。pdf.zip文件BEA9BE813B7DF579D5BE3E4543DC6A4付款详情9427923。pdf.zip文件1159fe7ec4d0b2cfde57dfb28b98f0c9第12014页。pdf.zip文件038710b2029046c39ca4082e2c34f9b3 wav_voice20141208.zip ec35acdbe331c73ee6883ebc08f896d付款_发票u 182734。pdf.zip文件8f00cfdf067b01462670212ba5874cdb pdf_efax_.zip让我们在解压后查看文件。所有文件都是Windows屏幕保护程序,包括合法软件包的假图标,以说服受害者点击他们。下载了文件:在这篇文章中,无法起到防御ddos作用,我们选择关注Hencitor恶意软件。Hencitor的典型行为是将其他恶意软件下载到受害者的机器上并执行它。MD5:6bb3b23ff3e736d49775120aa8d6ae2vt分数:9/56(在分析时)让我们看看在对这个恶意软件进行动态分析时注意到的一些重要事项。将自身复制到"C:\Users\Win7 64Bit\AppData\Roaming\Windows\winlogin.exe"创建自动启动注册表项条目HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run"winlogin"="C:\Users\Win7 64Bit\AppData\Roaming\Windows"\winlogin.exe"使用ping.exe文件检查其他设备和网络。cmd/D/R ping-n 10本地主机和del C:\payment_invoice_182734。pdf.scr.exe文件&&启动/B C:\Users\Win7 64Bit\AppData\Roaming\Windows\winlogin.exe&&exit在系统上的现有进程之后创建一个线程。C:\Windows\资源管理器.exeC: \ Windows\系统32\sppsvc.exe文件C: \Windows\System32\wbem\WmiPrvSE.exe文件C: \ Windows\系统32\conhost.exe文件安装后删除自身c:\payment_invoice_182734。pdf.scr.exe文件恶意软件可以解决几个可疑的tor站点。o3qz25zwu4or5mak.tor2web公司[.]组织o3qz25zwu4or5mak.tor2web公司[.]俄罗斯结论:利用易受攻击的WordPress站点传播恶意软件已成为EK和电子邮件垃圾邮件活动中使用最广泛的攻击载体之一。这类活动通常会删除知名恶意软件家族的变种,CDN防御游戏DDOS,而这些变种是AV供应商无法发现的。在分析的时候,我们观察到这次活动中涉及的恶意软件样本的检测率很低。-注意安全Zscaler_媒体_中心2_博客_发布_1-R1