来自 资讯 2021-06-08 06:11 的文章

香港高防ip_服务器高防如何打死_打不死

香港高防ip_服务器高防如何打死_打不死

小结:作为Cyber Squared关于复杂威胁及其使用社交媒体的持续威胁情报研究的一部分,我们最近观察到攻击者滥用社交媒体配置文件作为命令和控制(C2)媒介,作为在受害者和攻击者之间传递命令的一种方法。虽然社交媒体作为一种命令和控制方法本身并不一定是一种新技术,但不同的实现方式可能会有所不同。这种最近的实现不同于最近发现和记录的攻击,其中Twitter社交媒体平台被用作传递平台,向特定的Twitter用户发送包含恶意链接的目标tweet。在下面的示例中,攻击者试图秘密操作,通过托管在可信社交媒体网站上的合法用户配置文件将未被检测到的命令传递给位于受损企业中的自定义恶意软件。Cyber Squared评估说,随着社交网络平台在我们个人和职业生活中的广泛采用,复杂的威胁将继续寻求各种方法来利用普遍信任的社交媒体平台进行侦察、发送恶意内容、代理连接和管理C2。定义服务配置文件基础结构:传统上,复杂的网络威胁使用各种类型的基础设施,如IP地址或动态域,作为协助C2与受害者进行通信的主要手段。然而,由于netdefense人员能够通过各种恶意软件分析技术来识别恶意基础设施,攻击者的基础设施很容易被当今许多安全解决方案阻止或减轻。因此,攻击者正转向新的媒介来促进C2,比如社交媒体和其他基于云的服务。这种技术可能被视为有点罕见,因为一些攻击者可能不会发现它是一种可靠的C2方法。利用一个流行的社交网络作为C2的好处也会让攻击者付出代价,如果被发现,C2很容易被提供商关闭,因为攻击者依赖于社交网络中的特定帐户或协议。然而,由于大多数企业对这项技术的认识有限,使得C2无法被发现。此外,攻击者通常会尝试最小化其活动量,以保持其目标数量较低,并且不会在提供商安全部门内引起怀疑。作为一个日益增长的趋势的一部分,复杂的威胁已经将其攻击的关键阶段推到云端。他们在可信的C2基础设施中,通过伪装成第三方服务来实现可信的C2服务。我们将这种攻击者基础设施的扩展归类为"服务配置文件基础设施"(SPI)。事件概述:在下面描述的事件中,攻击者在实现SPI技术时的意图是通过托管在受信任服务提供商上的合法用户配置文件将未检测到的命令传递给位于受损企业中的自定义恶意软件。这种技术通常由杀伤链后期的活动组成,特别是在"C2"和"目标行动"阶段。然而,15m宽带能防御ddos吗,情况并非总是如此。例如,在"APT#targetedatacks within@SocialMedia"博客中,我们重点介绍了在早期的"交付"和"利用"杀戮链阶段使用的SPI技术。需要强调的是,攻击者已经被观察到断断续续地实施这项技术已经有好几年了,但由于活动量明显较低,这种活动很少达到安全行业的报告阈值。不幸的是,许多企业仍然没有意识到这一技术,因为对其进行详细说明的报告有限。服务提供商、安全专业人员和最终用户都应了解复杂威胁所采用的技术,并旨在了解相关风险和攻击表面区域,许多可信赖的第三方服务提供商可能在不知情的情况下将其引入当今企业网络。操作警告:Cyber Squared已通知受影响的社交媒体和网络内容平台共享此威胁的详细信息,为受影响的组织提供充足的时间来调查和减轻任何已识别的威胁。必须强调的是,任何社交媒体或web内容平台都没有利用任何漏洞或漏洞,而是在实现自定义C2协议时,服务提供商的配置文件被对手简单地滥用。在本例中,攻击者很可能选择社交媒体和web内容平台服务来实现"中间点"重定向功能,目的是"隐藏在噪音中",并利用许多受害企业与这些知名网站之间的隐性信任关系。由于操作的敏感性,并且应受影响实体的请求,我们选择只向受信任和审查的组织成员提供完整的攻击者技术、威胁指示器(文件哈希、IP、域等)和事件上下文ThreatConnect.com网站社区。下面的公共博客文章只包含上下文编辑的区域和一般概述。有关此威胁活动和技术的更多信息,请登录ThreatConnect.com网站.技术细节:2013年3月底,Cyber Squared发现了两个恶意文件。这两个恶意软件样本都是专门设计来请求特定攻击者控制的社交网络配置文件的缩短URL。后续分析将稍后识别在同一社交网络服务上公开的第二个攻击者控制的社交网络配置文件,但是,不会为第二个社交网络配置文件识别相应的恶意软件样本。两个社交网络配置文件都被配置为公共的,并包含类似的编码字符串。一旦解码,这些字符串就被识别为次级下载URL,公安备案ddos防御,恶意软件被设计用来与之交互,很可能是下载和执行辅助文件。收到通知后,服务提供商立即删除这些配置文件,从而使攻击者无法与感染了相关恶意软件的任何受害者主机进行交互。恶意软件概述:被识别的恶意二进制伪装成中国网络安全应用程序360的补丁。对恶意软件的静态分析表明,作者实施了大量的反调试技术来减缓和挫败分析工作。该二进制文件的功能似乎与一系列恶意软件相一致,这些恶意软件试图为几个流行的在线游戏网站获取个人用户凭据。这个版本的植入被配置为从多个韩国游戏网站以及live.com网站以及脸谱网. 它被设计成将自己注入到各种与游戏无关的系统进程中,例如资源管理器,雅虎和MSN信使。该植入程序还能够通过解码加密的URL字符串(如社交媒体服务配置文件中的字符串)来下载和执行攻击者选择的二级二进制文件。攻击者也有可能在采取任何缓解措施之前,通过部署未经识别的辅助后门或远程访问特洛伊木马(RAT),对其受害者实施冗余的C2手段。解码字符串:所有解码的网址都包含在中国注册的域名。已确定的基础设施与中国保持了一致的联系,因为它是在中国北京或昭通注册的。但是,目前我们还不能确定这一具体活动确实与中国的威胁行为体有关联。韩国关系:我们还注意到,ddos攻击防御研究内容,已确认的文件已于3月21日提交给ThreatExpert,根据时区的不同,这些文件要么与针对韩国银行和媒体网络的大规模定向拒绝服务(DoS)和磁盘擦除攻击同时发生,要么紧随其后。我们后来发现,在Palo Alto Networks的日文报告中也提到了其中一个已识别的恶意软件二进制文件(观察时间为3月20日),该报告列出了在韩国媒体和金融业DoS攻击期间和前后收集的大量恶意软件样本。根据机器翻译,帕洛阿尔托网络的报告特别提到了韩国的攻击,并提到了3月20日或大约被检测到的同一台MD5。不幸的是,关于Palo Alto Network评估的其他细节和背景,存在一个关键的情报缺口。这让我们无法自信地确认,该样本确实与3月20日针对韩国媒体和金融业的擦盘攻击有关。可能是样本被错误地包含在一个更大的相关二进制文件的一部分,或者它可能被用作攻击中的一个组件。2013年4月10日,在朝韩紧张局势又一次加剧的时候,cc防御是啥,我们在野外发现了这种恶意软件的新变种。恶意软件托管在hxxp://142.54.188[.]216,阿里云cdn能防御cc跟d吗,观察到它运行的是一个中文Microsoft IIS服务器。在对恶意软件进行运行时分析期间,我们注意到一个与原始社交网络配置文件的连接,然后是请求hxxp://xa.3pronxg[.]com/xaa公司/xa.jpg版. 在进行分析时xa.jpg版文件从服务器返回"404未找到"。不幸的是,由于缺少此文件,我们无法确定第二阶段文件的后续行为或目的。其他服务配置文件基础结构:我们随后发现的社交网站和社交网站中的恶意软件是相关联的