来自 数据 2021-05-02 13:19 的文章

cdn防御cc_服务器cc防御_零元试用

cdn防御cc_服务器cc防御_零元试用

Top exploit kit活动综述–2019年春季这是Zscaler ThreatLabZ研究团队在一系列季度综述中的第十次,我们收集并分析了过去三个月内顶级漏洞工具包的活动。漏洞工具包(EK)是一种可快速部署的软件包,旨在利用web浏览器中的漏洞并向受害者的计算机发送恶意负载。EKs的作者提供收费服务,为其他恶意参与者分发恶意软件。以下是我们在上一季度观察到的EK活动的亮点。RIG EK RIG EK在本季度持续活跃。虽然EK活动总体上有所下降,但RIG-EK活动一直持续。与上一季度相比,我们没有看到套件行为的变化。下面我们可以看到RIG-EK活动的点击率。图1:RIG EK从2019年3月1日到2019年5月20日。RIG EK命中率的地理分布如下所示。图2:显示感染区域的RIG-EK热图如下所示。图3:RIG-EK感染周期登录页面上的模糊JavaScript如下所示。模糊化的JavaScript页面4。我们观察到在登录页上使用了两个恶意脚本,第一个是CVE-2016-0189,这是一个针对IE 11及以下版本的脚本引擎内存损坏漏洞。第二个脚本是CVE-2018-8174,这是一个针对Windows 10、7和8.1以及Windows Server 2008、2012和2016的Windows VBScript引擎远程代码执行漏洞。我们还看到了Adobe Flash exploit CVE-2018-4878的使用,ddos攻击防御鱼目混,这是Adobe Flash Player 28.0.0.161及更早版本中的一个释放后使用漏洞。针对CVE-2018-4878漏洞的代码片段可以在下面的反编译闪存文件中看到。图5:RIG EK周期中的反编译Flash漏洞利用;CVE-2018-4878本季度在RIG EK上看到的恶意软件有效负载属于SmokeLoader和AZORult家族。debumber-EK-undermer-EK是相对较新的,我们在过去的六个月里开始看到这种EK的活动。我们看到这个漏洞工具包通过定制的HTTP端口提供其有效负载。下面显示了最近暗黑者EK的点击率。图6:2019年3月1日至2019年5月20日的暗渠EK撞击。暗黑EK命中的地理分布如下所示。图7:暗黑EK热图显示感染区域。暗黑EK的感染周期如下所示。图8:Debumber EK感染周期我们看到的大多数针对Debumber EK的活动都是从一个涉及popcash[.]网络URL的恶意活动开始的,它将用户重定向到一个恶意域adpop[.]live。恶意域通过HTTPS提供内容,从而进一步将用户重定向到Debumber EK登录页。在恶意域ADOP[.]live上调用Dembier EK如下所示。图9:UnderbeerEK登录页对malvertisement页的调用此登录页包含对恶意SWF有效负载的调用。这个电话可以在下面的截图中看到。图10:Debumber EK调用Flash exploit在这个周期中看到的恶意软件负载是一个bootkit特洛伊木马。我们在2019年3月开始看到一个名为Spelevo的新漏洞的活动。Spelevo EK的作者整合了相对较新的Flash漏洞CVE-2018-15982。Spelevo EK活动的点击率如下所示。图11:2019年3月1日至2019年5月20日Spelevo EK点击量的地理分布如下所示。图12:Spelevo-EK热图显示感染区域,Spelevo-EK的感染周期如下所示。图13:Spelevo EK感染周期下图显示了Spelevo EK malvertisement重定向到EK登录页。图14:Spelevo EK malvertisement重定向Spelevo EK登录页包含一个模糊的JavaScript浏览器插件检测脚本,用于确定用户系统正在运行的adobeflashplayer版本。模糊的JavaScript和解码后的脚本如下图所示。图15:Spelevo-EK登录页和deobfoustedbrowser插件检测JavaScript同一页面根据满足的条件提供重定向URL。图16:Spelevo EK Flash Player plugin detect一旦发现Adobe Flash版本存在漏洞,用户将收到一个恶意的SWF文件,该文件是Adobe Flash Player 31.0.0.153及更早版本中的释放后使用漏洞(CVE-2018-15982)。该周期没有在我们的测试机器上提供任何恶意软件有效载荷,但恶意软件活动已被报告在野外成功利用。我们还观察到了一些针对路由器的攻击工具包活动,重点是劫持DNS查询。路由器漏洞工具包提供的扫描代码片段如下所示。图17:由路由器漏洞工具包提供的扫描脚本基于在线看到的目标IP地址,然后该脚本调用另一个模糊的恶意JavaScript;下面可以看到由这种漏洞工具包提供的示例脚本。图18:router exploit kit登录页上的模糊JavaScript登录页Base64解码版本显示了下面的DNS劫持脚本。在这个屏幕截图中,网站防护可以采用高防cdn吗,我们看到脚本试图使用默认凭据将网关IP作为目标。在本例中,谷歌云服务器防御DDoS攻击么,脚本试图使用用户名"admin"和空密码登录。如果尝试成功,则DNS地址将被修改为攻击者的DNS地址(158.255.7[.]150),以及备份的合法公共DNS地址(8.8.4[.]4)。图19:Base64解码的JavaScript显示了DNS劫持配置,下面显示了另一个用于目标路由器的默认凭证实例。图20:路由器漏洞工具包针对的默认凭据我们在这里看到密码"gvt12345"与用户名"admin"一起使用。通过谷歌快速搜索此密码模式可以发现,这可能曾被一些巴西ISP用作默认密码,并曾在类似攻击中使用过。使用攻击者的DNS服务器检查名称解析会显示正在运行的DNS重定向行为,如下所示。图21:使用攻击者的DNS服务器的DNS解析显示了对仿冒IP的名称解析在本例中,cc防御在哪调整,由DNS服务器解析的服务器IP公司[.]com是一个由攻击者控制的恶意服务器,用于向受害者提供网络钓鱼内容。Grandoft EK、Magnitude EK和Fallout EK在本季度没有出现变化。我们在本季度没有看到其他最近的攻击包,如恐怖EK,KaiXin EK和Disdean EK的活动。结论本季度,我们看到了Spelevo和Debumber加入了漏洞攻击工具包的威胁范围,并且我们看到了一些针对路由器的EK活动。漏洞工具包是有效的,因为它们可以在用户不知情的情况下感染受害者的机器。攻击者通过各种方式将成功的感染获利,例如通过收集赎金来检索勒索软件加密的数据、利用受害者的系统资源挖掘加密货币、或安装银行木马窃取受害者的身份。攻击者经常通过混淆源代码或将新的攻击代码集成到EK中来改变他们的技术,安全研究人员通过跟踪EK行为的变化来分析和阻止新的威胁。为了帮助避免漏洞工具包的感染,用户应始终阻止不受信任的第三方脚本和资源,并避免单击可疑广告。使浏览器插件和web浏览器保持最新补丁程序的最新状态,有助于防止攻击工具包针对的常见漏洞。Zscaler ThreatLabZ研究团队已经确认了这些顶级漏洞工具包和后续有效负载的覆盖范围,自己的服务器怎么防御CC,确保了使用Zscaler云安全平台的组织得到保护。 Zscaler_媒体_中心2_博客_发布_1-R1