来自 资讯 2020-09-02 00:40 的文章

ddos防护_高防ip段_怎么办

海湾事件,外贸行业的网络攻击

了解有关360 Total Security的更多信息自2019年10月以来,360安全中心先后拦截多起针对外贸、交通运输、多个重要海港的网络攻击。通过对这些攻击事件的联合分析,我们发现发起攻击的黑客团队专业性很强,拥有强大的武库。攻击的目标具有极高的价值,因此我们认为这不是纯粹的个人行为,cc攻击防御开启后,而是一个专业的黑客团队或APT组织。在分析该组织的CVE-2017-11882漏洞利用文件时,我们发现绕过外壳代码长度限制的方法与APT组织TA505使用的方法相似,但交付的有效负载有利于公开销售的恶意软件,如NanoCore、Formbook等,未发现TA505曾经使用过的任何Tema。所以我们不确定这次攻击是否由TA505发起。但是,为了便于组织的持续跟进,我们将此次攻击命名为"Bayworld",我们将继续跟踪和研究更多与该组织有关的攻击。攻击目标我们分析了感染一系列木马的机器,发现BayWorld活动的主要攻击目标集中在有进出口业务的大型企业,涉及医疗、化工、建筑以及各种新兴制造业。各大区域运输公司以及一些重要的海港发动了袭击。攻击区域主要分布在中国、埃及、乌克兰等国。主要攻击目标是苏伊士运河、阿尔及尔港、尤兹尼海港等重要商业港口。区域分布如下图所示:诱饵文件我们分析了2019年8月与Bayworld活动相关的钓鱼电子邮件。邮件中携带的恶意文档附件主要分为以下三类:包含宏病毒包含CVE-2017-8570漏洞包含CVE-2017-11882漏洞钓鱼邮件的内容相对简单。尴尬过后,会提醒受害人打开附件:附件通常伪装成采购订单、付款凭证、会计报表等。CVE-2017-11882与以前大多数CVE-2017-11882漏洞攻击不同,Bayworld在xlsx文件中使用恶意代码。当溢出时,它使用一个30字节的外壳代码来动态获取MTEFData结构的内存指针并定位剩余的外壳代码。为了在攻击时绕过外壳代码长度的限制。这种方法不是第一次出现。我们发现朋友和商家在TA505黑客组织的分析报告中也提到过类似的使用方法,但基于一点,云加速ddos防御,我们不能确定Bayworld是由TA505黑客组织发起的。CVE-2017-8570CVE-2017-8570漏洞利用文档包含两个关键ole对象。SCT脚本(SCT)文件类型为第一个恶意脚本。打开恶意文档后,包对象将自动释放到%temp%目录中。第二个是OLE2Link对象,用于触发释放到随机目录的SCT脚本SCT脚本用于下载后续有效载荷。恶意宏除了利用漏洞,Bayworld活动中还使用了大量宏病毒。宏代码已被混淆。多次解密后,它将调用powershell来执行以下脚本:通过Add Type将C代码添加到当前会话并执行: 然后通过补丁AmsiScanBuffer绕过AMSI检测,DDos防御方案包括,最后下载并执行有效负载。有效载荷在我们分析BayWorld的活动时,ddos攻击防御做的最好的,我们发现他们提供的有效载荷有很多种,网站怎么防御ddos,包括以下几种主流遥控器和间谍软件。  此外,我还检测到了来自Ave_Maria和Nzrat等家庭的少量恶意软件。这些恶意软件具有强大的功能,黑客可以通过这个软件控制受害者的机器并执行任何想要的操作。隐蔽的手段除了在某些URL中使用IP地址外,它们大多使用动态域名来隐藏真实的服务器地址:摘要Bayworld是一个目标明确、高度专业化的网络攻击活动。背后的黑客团伙拥有强大的武器库和多样化的攻击手段。它在整个攻击过程中使用了大量的模糊代码和动态域名。同时,它自身的特点也隐藏得很好。360 Total Security可以从多个维度拦截此类网络攻击。用户可以安装和使用它:      了解有关360 Total Security的更多信息