来自 资讯 2021-05-03 02:21 的文章

网站防护_马云神盾局_无缝切换

网站防护_马云神盾局_无缝切换

后门Xtrat继续逃避侦查在查看ZULU最近扫描的报告时,高防cccdn,我们遇到了一个引起我们注意的恶意报告。值得注意的是,最终重定向通过访问域上的PHP文件下载了ZIP内容网站'.网址:网址:hxxp://www[.]stisanic[.]com/wp content/coblackberrycomnotasdevzdate07052014[.]php ZULU的virustotal检查将该文件评为高风险。当时,VT上的10家供应商检测到ZIP文件是恶意的。文件:coblackberrycomnotasdevzdate07052014.zip md5:d7d6574a443909b04b1ac76fb07b8dc2 VT Report:10/52 zip文件包含一个EXE。又一次,只有10家供应商在VT上标记该可执行文件是恶意的。文件:coblackberrycomnatsdevzdate07052014.exe md5:bd06e73db5b169120723206998a604a VT Report:10/52 ZULU报告是后门Xtrat的实时示例,相对来说,防御100gddos攻击,并不是很多AV厂商一直在检测威胁。AV厂商在2011年5月首次发布了该恶意软件的特征码(MS advisory)。不良的AV检测是一个共同的挑战的结果-攻击者不断地修改二进制文件,并且有许多变种。当然,这是基于签名的方法的已知局限性,couldflareddos防御,也是攻击者经常利用的一个因素。这也是像Zscaler这样的安全厂商在分析二进制文件时越来越依赖行为分析的原因之一。行为分析不依赖于特征,也不需要事先了解威胁,是Zscaler 2013年发布的基于云的APT解决方案的关键组件。Zscaler行为分析报告:Zscaler行为分析报告的屏幕截图后门。Xtrat典型行为这个后门:把自己注入主进程, 资源管理程序以及iexplore.exe删除PE文件执行网络活动以接受来自远程服务器的命令并将数据发送到远程服务器丢弃的文件详细信息:后门将以下两个EXE文件放到受害者的计算机上。这两个EXE文件相同,但使用不同的名称删除。vbc.exe/wintegfire.exe md5:6fb9ce258a2420d898b6d0fa4d73bb8f VT报告:6/52(也很少检测)网络活动:后门从'analaloca.chickenkiller.com网站'通过端口3460。URL:hxxp://analaloca网站[鸡杀手]com:3460/123456.functions.功能IP:181[.]135[.]149[.]40 Zulu报告:100/100CnC服务器位置:具有上述模式"/123456.functions":cascarita1.no的CnC URL-ip.业务:33100/123456.函数cascarita2.no-ip.业务:33200/123456.功能SCASCARITA3.no-ip业务:33500/123456.functionswindows.missfulsed.org:999/123456.功能uranio2.no-ip.业务:10180/123456.功能风二号-网址:999/123456.功能穆罕默德2010.no-ip业务:81/123456.功能超人。不-ip.biz/123456.功能更新.serveexchange.com:999/123456.功能Spycronic编号-网址:81/123456.功能所有的工人。不-ip业务:400/123456.功能livejasminci.不-ip.biz:4444/123456.functions 31.193.9.126:3377/123456.functions我们还观察到了与此相关的CnC URL在模式上有小变化的后门。观察到的模式变量为"/1234567890.functions"。具有"/1234567890.functions"模式的CnC URL:不支持-ip信息:2180/1234567890.功能Laithhrez.不-ip.info/1234567890.功能papapa-1212。zapto.org/1234567890.函数sarkawt122.no-ip.biz/1234567890.functions outlook11551.no-ip.biz/1234567890.函数Snort签名:警报tcp$HOME\U NET any->$EXTERNAL\U NET$HTTP U端口(msg:"后门Xtrat URL Request";流程:已建立,51ddos攻击防御,国外cc防御,到服务器;内容:"/123456.functions"http_uri;nocase;类别:木马活动;引用:"";sid:XXXXX;版次:XX;)警报tcp$HOME\u NET any->$EXTERNAL\u NET$HTTP_端口(msg:"后门Xtrat URL Request";流程:已建立,到服务器;内容:"/1234567890.functions"http_uri;nocase;类别:木马活动;引用:"";sid:YYYYY;版次:YY;)我们每天都会看到新的CnC域名与此攻击有关。这表明攻击仍然活跃。避开这个后门,保持安全!普拉德普Zscaler_媒体_中心2_博客_发布_1-R1