来自 资讯 2021-06-11 19:03 的文章

防御ddos_高防运动鞋_无缝切换

防御ddos_高防运动鞋_无缝切换

随着Emotet明显中断的持续,新的恶意垃圾邮件活动也开始取代它(包括6月[1]报道的一个奇怪的Emotet-Dridex混合体eSentire)。Ostap自推出[2]以来的三年里,它一直不在主流聚光灯下,但每年都会有新的修改。Ostap最新的变种加入了2018年的黑名单,包括VirtualBox和Hybrid Analysis在内的恶意软件可以检测并作出反应的进程。有趣的是,作者还将两名安全研究人员的名字列入了黑名单:李红(Hong Lee)和彼得•威尔逊(Peter Wilson)。作者还从列表中删除了WindowsXP,linux系统ddos防御系统,这表明他们可能不再希望沙盒运行XP环境。与Emotet的一个关键区别是Ostap的破坏性传播特性。一旦下载负载失败,Ostap将在所有连接的驱动器(包括映射的网络驱动器)上搜索文档(例如*.xls、*.doc、*.pdf、*.txt、*.rtf和*.odt),并将其替换为自身的副本。该功能于2017年首次被观察到,同时也在eSentire的高级威胁分析团队检查的当前样本中进行了观察。通过这种方式,Ostap能够跨网络共享和可移动媒体进行传播。与Emotet一样,Ostap通过电子邮件作为附加的恶意文档(MalDoc)传递。恶意文档通常伪装成发票,促使财务角色中的一小部分员工打开发票并激活恶意软件。在这一点上,内部安全协议变得非常重要。Emotet和Ostap都滥用微软文档中的宏功能。但是,几万条cc攻击怎么防御,Ostap使用JavaScript(而不是PowerShell)来下载所选的有效负载。有效载荷:Trickbot Ostap交付的Trickbot有效载荷已经被观察到从Chrome、Firefox、internetexplorer、Filezilla、Windows远程桌面协议和VNC等常见应用程序获取凭证。恶意软件还可以通过单独的模块感染PoS设备[3]。另一个不断演变的威胁Ostap于2016年首次出现,这是一个JavaScript加载程序,提供银行木马和销售点(PoS)恶意软件。观察到它可以输送Dridex、Tinba和Ursnif[2]。2017年,作者增加了环境检测能力。如果恶意软件检测到任何与防病毒或监视应用程序(如WireShark)相关的文件路径,则不会引爆。作者还对恶意软件的C2通信约定做了一些小的调整,以更好地避开网络检测,并包含了一个特性,即在下载负载失败时,用Ostap MalDoc替换所有用户文档[4]。2018年,黑名单扩大,剧本严重模糊。最近的活动追踪7月3日—Ostap源代码粘贴在pastebin上[5]7月22日—一个公共混合分析样本指向Trickbot 185.159.82[.]15,cdn高防和服务器配置有关吗,但未能运行,调用了一个制造的"文档错误"。[6] 7月26日——Twitter用户Jammy(@jcandt)在Twitter上观察到Ostap通过185.159.82[.]15/hollyhole951/c644.php 7月30日——Twitter用户Kirk Sayre(@bigmacjpg)观察到,从185.130.104[.]236/deerhunter开始,有人在为Trickbot服务/输入输出.php7月31日—eSentire观察到Ostap正在传送trickbot,并开始对恶意软件进行除臭。上一次公开除名是在2018年[4]。C2来源与Kirk Sayre(7月30日)报道的相同。8月5日-在撰写本文的过程中,TrendMicro发表了他们自己对Jammy(7月26日)报告的C2发布的恶意软件的分析,但没有将JS滴管标识为Ostap[3]。指标TrendMicro[3]很好地概括了大多数静态指标。然而,我们包括了一个可能对网络监控有用的方法,高防cdn空间,并提出了一种行为检测方法。C2:185.159.82[.]15 C2:185.130.104[.]236HTTP头响应:RedSparrowMachine检测恶意文档:一般来说,Word宏生成命令解释器(命令提示符, 父进程, wscript.exe, cscript.exe, mshta.exe)是恶意行为的指示器,如何起到防御ddos,也是基于社会工程的电子邮件垃圾邮件的流行媒介。就Ostap而言,wscript.exe观察到正在执行恶意JavaScript。恶意文档的人工检测:恶意垃圾邮件通常伪装成发票、税务文档和装运单到达。财政部门往往具有很强的针对性。考虑为财务部门实施电子邮件处理协议,包括网络钓鱼意识培训和附加文档的安全审查。参考文献[1]https://www.esentire.com/blog/new-dridex-variant-evading-traditional-antivirus/[2]https://www.securityweek.com/ostap-backdoor-installs-banking-trojans-pos-malware[3]https://blog.trendmicro.com/trendlabs-security-intelligence/latest-trickbot-campaign-delivered-via-highly-obfuscated-js-file/[4]https://www.cert.pl/en/news/single/ostap-malware-analysis-backswap-dropper/[5]https://pastebin.com/svT5pQup[6]https://www.hybrid-analysis.com/sample/f9c0dadd5184966384eecca53c3bb781d164ceab2677c2b611cb6bb592fea9d?环境ID=100