来自 数据 2021-04-05 08:43 的文章

国内高防_海外_云购平台被攻击

国内高防_海外_云购平台被攻击

这篇文章是由@hasherezade和jerôme Segura共同撰写的在圣诞节期间和新年伊始,我们注意到垃圾邮件数量急剧减少,可能是因为网络犯罪分子从他们的恶意活动中休息一下,然后开香槟庆祝。这也可能是一个时间重组和规划新的战略为来年。无论如何,上周末我们观察到了一个新的大型活动,声称是一封来自"微软安全办公室"的电子邮件,上面有一个完整的安全报告链接(Microsoft.report.doc). 这有点出乎意料,ddos产品可防御攻击的是,因为通常恶意的Office文件直接附加到电子邮件中。相反,这些文件被托管在不同的服务器上,并且有很短的生存时间窗口。booby trapped文档要求用户启用宏以启动恶意代码。中微子机器人如果宏执行,最终的有效载荷将被下载并执行。这是我们一年前分析过的中微子机器人,它可以:执行DDoS攻击捕捉击键,抗ddos攻击防御系统,抓取表单,截屏欺骗DNS请求下载其他恶意软件分析样品2b796c0e248b02aa0c6fda288cb62531–原样621ea6c1f02470a137569be2f8412326–未包装的第1阶段(装载机)084f562da639bd4bfc6b92b7d5cdc014–核心机器人细节部署示例后,它将自己安装在名为"UmJn"的文件夹的%APPDATA%中。此文件夹名称是特定版本的中微子机器人的典型名称:它开始连接到C&C,以便通过查询名为"的脚本获取命令并执行恶意操作。"任务.php".bot的url是以Base64格式硬编码的:从该示例中提取的URL:运行任务://saferunater.space/n/tasks.php中微子使用一种非常简单的身份验证方法–它发送一个带有硬编码值的cookie:发布%s HTTP/1.0主机:%s用户代理:Mozilla/5.0(Windows NT 6.1;WOW64;rv:39.0)Gecko/20100101 Firefox/38.0内容类型:application/x-www-form-urlencodedCookie:auth=bc00595440e801f8a5d2a2ad13b9791b内容长度:%i在前面描述的版本中,它是md5("admin")。这次是:"bc00595440e801f8a5d2a2ad13b9791b"->md5("只是为了好玩")虽然bot的目标和主要特性没有太大变化,防御cc盾,但是与泄露的3.9.4版本相比,代码似乎被部分重写了。以下是向CnC报告的旧版本:新版本——看起来是5.2版——没有那么冗长。它不使用任何字符串来指示任何特定值的用途。此外,一些使用的函数是动态加载的,并通过校验和进行标识,以降低代码的可读性:这些功能也被重新组织。例如,现在仍然有一个功能可以对受害者的桌面进行截图,但是它的实现细节已经改变了:屏幕抓取由C&C的命令触发:创建的屏幕截图立即发送给C&C。在过去,同样的功能是与键盘记录器一起实现的。负责的线程被部署,屏幕截图会定期拍摄,并与其他抓取的内容一起保存到日志中。当日志大小超过定义的阈值时,它们将上载到C&C:所实现的更改改进了分离特定特性的代码质量,并使操作员能够更好地控制其执行。尽管如此,代码并没有被混淆,但作者试图隐藏一些显式显示特定命令用途的字符串。就像上一个案例一样,我们正在处理一个成熟的多用途机器人,它具有各种功能,允许窃取数据和侵犯隐私,但也可以使用受感染的计算机进行DDoS攻击或下载其他恶意软件。保护一定要记住,要特别小心伪装成发票的Office文档,服务器如何防御cc攻击,或其他利用宏功能执行代码以下载和检索实际有效负载的报表。作为最终用户,防御ddos系统,除非完全信任该文件或在虚拟化环境中运行,否则不要启用宏。作为IT管理员,您可以设置策略以永久禁用宏。Malwarebytes用户通过网络或漏洞保护模块免受此威胁。国际奥委会:恶意文档:agranfoundation[.]org/Microsoft[.]报告[.]文档xn—hastabakc-2pbb[.]net/Microsoft[.]报告[.]文档ecpi[.]ro/Microsoft[.]报告[.]文件ilkhaberadana[.]com/Microsoft[.]报告[.]文档cincote[.]com/Microsoft[.]报告[.]文档mallsofjeddah[.]com/Microsoft[.]报告[.]文档dianasoligorsk[.]作者/Microsoft[.]报告[.]文档8dd66dd191c9f0d2f4b5407e5d94e815e8007a3de21ab16de49be87ea8a92e8d中微子机器人:公司[立方]立方厘米/nn.exe文件87b7e57140e790b6602c461472ddc07abf66d07a3f534cdf293d4b73922406feB1AE6FC1B97DB5A43327A3D7241D1E55B2008F00EB27C1B8AA855F92F71CB4BCA64848F4C090846A694E0D128489B80B452E8C89C48E16A149D73FFE58B6B111