网站防护_游戏盾牌图片_零误杀

 由管理员2019年11月12日作者：Rene Millman | SC杂志英国基于PowerShell的恶意代码背后的APT34黑客组安全研究人员已经详细说明了窥视恶意软件如何使用文本模式作为备用DNS资源记录类型。根据IronNet安全研究人员乔恩·佩雷斯和乔纳森·莱波雷的一篇博客文章，该恶意软件是用PowerShell编写的，并与APT34关联。研究人员说，它是由visualbasic脚本执行的，但是脚本是如何启动的仍然不清楚。他们补充说，该恶意软件与毒蛙恶意软件相似。两者都使用"A"资源记录与控制器通信。gissue的不同之处在于它能够将文本模式用作备用的DNS资源记录类型。这使得它能够在更少的事务中提供任务。此外，它不再依赖于现有的.NETDNS库，而是手动处理其DNS查询并直接与控制器通信。启动后，它会检查目录和锁文件是否存在，网安cc防御体系，防御cc脚本，如果没有找到目录或锁文件，则会创建一个。或者，如果这些文件确实存在，并且锁定文件超过10分钟，则会删除锁定文件，并终止先前运行的gissue脚本。"一瞥并没有利用在DNS通信中通常观察到的递归（即，受感染的受害者直接向控制器发送DNS查询）。直接与控制器通信虽然在操作上可行，但在限制外部DNS服务器使用的环境中可能不会成功，"研究人员说。研究人员说，毒蛙和窥视的区别"突出了对手很容易修改他们的工具来达到他们的最终目标"。他们补充说，有几种方法可以用来识别这种类型的C2活动。研究人员说："对子域标签进行熵计算有助于突出标签中的随机性，国外防御cc软件，但这只是许多可能的数据分析点之一，因为一个独立的特性可能不足以确定流量是否是恶意的。"。KnowBe4的安全意识倡导者Javvad Malik告诉SC Media UK，目前还不清楚这些恶意软件是如何感染公司的。"了解最初的感染媒介可以极大地帮助企业全面预防感染。这就是为什么将最常见的进入公司的方式变得越来越重要，这些方式包括网络钓鱼、泄露凭证或利用未修补的软件。"在缺乏此类信息的情况下，安卓ddos防御工具，公司需要依赖强大的威胁检测流程和控制措施，从而能够积极寻找妥协的指标，阻止任何恶意活动的发生。"Guruchul的EMEA技术总监Peter Draper告诉SC Media UK，从过去的信息来看，华为ddos防御优势，APT34似乎有一些非常熟练的操作人员。他说："构建c2恶意软件，可以用来向受感染主机发送和接收任何数据，然后以多种方式使用这些恶意软件，包括钓鱼，甚至使用LinkedIn邀请。"。"组织需要很好地了解自己的行业、哪些流量是正常的、哪些用户行为是正常的，才能将此类流量识别为异常流量。使用DNS作为控制机制是非常聪明的，因为在大多数网络上都有大量的DNS流量，因此很容易错过这些流量。这就是基于机器学习的现代系统将能够识别与C2命令相关的异常DNS流量的地方。"外部链接：瞥见恶意软件使用替代DNS来逃避检测 分享这个页码：LinkedInFacebookTwitter分享