来自 资讯 2021-06-09 01:13 的文章

美国高防_美国高防服务器哪家好_无限

美国高防_美国高防服务器哪家好_无限

Citadel是宙斯银行特洛伊木马的变种,腾讯CDN能防御ddos么,于2012年首次被发现。宙斯的源代码在2011年公开,导致了几个变种的产生。图1所示的时间轴列出了宙斯的几个臭名昭著的分支:图1:宙斯的进化Citadel使用一种名为maninbrowser(MiTB)的技术来获取敏感信息,如银行凭证、密码和其他敏感的用户数据。这通常是通过在用户的浏览器呈现之前将HTML或JavaScript注入web页面来实现的。Web注入允许威胁参与者添加诸如PIN或信用卡字段之类的内容,或者从视图中删除安全警报之类的内容。受到MiTB攻击的用户通常在不知情的情况下向攻击者提供敏感信息。比特和机器人我们的研究重点是Citadel master 1.3.5.1文件中包含的一个变体。解压缩文件会显示以下内容:图2:堡垒主人1.3.5.1的内容文件夹其他:此文件夹包含Windows Backconnect服务器的php脚本。server[php]:此文件夹包含一个管理包,其中包含上载到服务器的脚本。它还具有管理控制面板(cp.php文件),一个用于bot通信的gate文件(门.php),向机器人程序发出配置和可执行文件的脚本(文件.php),和更多。Builder:此文件夹包含构建Citadel恶意软件所需的组件。它包括城堡.exe它是UPX打包的,并且遇到了与稍后在我们的细分中描述的重新定位表相同的问题硬件ID.exe. 一旦修复、解包和执行citadelgui,该文件将显示citadelgui。GUI允许用户构建bot配置和bot代理文件;请参见图3:图3:Citadel Builder GUI要配置bot,用户选择buildthebot配置。这将生成一个配置.dll包含:url_loader:用于加载bot的路径。url_server:到的路径门.php. 此文件包含有关如何通过gate对bot进行身份验证的信息。例如,如果MD5身份验证签名与中包含的信息不匹配门.php,连接已断开。url_webinjects:指向web injects脚本的路径。Citadel通过向浏览器中注入恶意代码来执行MiTB攻击,如图4所示:图4:Citadel web注入脚本web inject脚本包含Citadel使用的几个标志,包括:set_url:指定目标url。在本例中,它设置为www[.]wellsfargo[.]com,美国跨国银行、抵押贷款、投资和金融服务公司。目标URL可以定制到任何网上银行机构。G: 为所有GET请求设置的标志。P: 设置所有POST请求的标志。data_before和data_after:它们定义代码将被注入的位置。数据注入和数据结束:出现在这两个标记之间的代码被注入到目标浏览器中。Citadel重定向DNS或阻止特定防病毒(AV)服务器的能力相当复杂。DNS重定向中使用的URL示例如图5所示(如下所示)。DNS重定向/阻止列表由600多个URL组成,ddos怎样防御,可以在附录图16中找到。图5:Citadel DNS重定向列表文件夹个人的手册.txt:本文件用俄语编写。内容包括Citadel安装、bot builder、脚本、管理员附加保护和配置的分步说明。它还包括以下条目:安装BackConnect Windows Server(VNC模块)Citadel VNC管理接口模块网络锁网页浏览者刷卡模块管理员新特性手册FTP-iframe-特性和设置"键盘记录器模块"的说明保护僵尸网络的GeoIP模块(可以对其进行定制以避免/排除某些区域)"双清洁原木"模块"网络注入"模块常见问题解答如何在Jabber中正确提问(宙斯变体,2009)机器人程序的命令列表这本手册非常详细,包括设置僵尸网络所需的一切。请参见图6中的"个人手册.txt"内容。以下部分介绍"bot命令列表"。右边的原始版本是用俄语写的。左侧面板显示英文翻译:图6:来自"Personal"内容的"bot命令列表"手册.txt"宙斯老_手册.txt:本文件包含类似"个人手册.txt,但不是很详细,参见图7中"宙斯老"的问答和神话截图_手册.txt":图7:"宙斯老"的问答和神话_手册.txt"硬件ID.exe:类型Win32编译2012年1月11日,星期三,10:28:16大小28672 硬件ID.exeUPX包装好了。当尝试使用官方的UPX解包工具解包时,会出现"cantupbackexception"说明exe的头有问题:图8:由于executables头出错,无法解压缩通过打开硬件ID.exe在任何十六进制编辑器中,阿里最大防御ddos,我们都可以看到DOS头必须被修复以解决错误,ddos防御方法弹性ip,在DOS头的偏移量0x18处找到的重定位表的偏移量总是0x40,但在本例中不是这样。此处设置为0:图9:重定位表的偏移量总是0x40,但在本例中不是这样,这会导致错误这可以通过在任何十六进制编辑器(如CFF)中打开可执行文件并手动更改它来轻松解决。通过固定DOS头,可以将样本打开,不会出现问题:图10:在固定重定位表地址之后,可以成功地解包示例硬件已修复_解包.exe收集有关Win32处理器的信息。Citadel使用RC4加密算法进行通信(图12)。要初始化加密,需要密钥。在这种情况下,使用硬件ID.exe:图11:HardwareID计算器生成的ID/key图12:Citadel使用的rc4加密算法技术分析Citadel感染系统的一种方式是通过恶意垃圾邮件活动分发受感染的电子邮件。我们检查的示例使用图13中的代码试图欺骗用户打开恶意PDF。用户会收到一封电子邮件,邮件的主题是:"LOL,{user}"。攻击者依靠受害者的好奇心驱使他们打开被感染的"file{user}.pdf",然后用Citadel感染系统:图13:Citadel垃圾邮件布局的部分代码。让我们来看看城堡在偷什么,是怎么偷的:SHA25669ffd6172b905e5b9392a59ad049bb782c13334b729983125da7ce65ec6bd1a4类型Win32大小458.2千克时间戳2013-10-29 14:24:01ITW名称ftp13.exe文件城堡(1)执行时,会释放一个儿童滴管(2)。然后,内网ddos防御,该子滴管丢弃一个随机可执行文件(3),并将其放入C:\Users\\AppData\Roaming("%AppData%\