来自 安全 2021-05-02 18:16 的文章

云防护_软防ddos有用吗_快速接入

云防护_软防ddos有用吗_快速接入

查看最近的Emotet活动-2017年8月介绍盗用凭证的银行特洛伊木马Emotet在2014年首次被报道,不限域名高防cdn,当时它在欧洲和美国造成了严重破坏。Zscaler威胁研究小组自2017年4月以来一直在监测Emotet的新变种,最近发现与Emotet相关的垃圾邮件活动激增。Emotet是一种多组件恶意软件,专门从事多种邪恶活动,包括从浏览器和邮件客户端窃取凭据、通过浏览器中人攻击进行银行盗窃、电子邮件收集和通过受感染系统的垃圾邮件传播。 图1。最近3周内唯一的新恶意文档有效负载。 图2:最近Emotet活动针对的地理位置分配Emotet通常通过恶意垃圾邮件(malspam)活动进行分发,阿里云ddos防御多少钱,这些活动包含恶意文档文件附件或指向托管JavaScript或文档文件的恶意URL的链接,后者会进一步下载和安装Emotet负载。如本文所述,4月份,Emotet主要通过JavaScript malspam活动分发,而攻击者现在正利用带有高度模糊宏的恶意文档文件来服务Emotet负载。混淆的VBS宏代码包含预先确定的url,网站被cc如何防御,其中包含下载和在受害者计算机上安装Emotet有效负载的代码。如去模糊处理的VBS宏代码(图3)所示,cc攻击防御策略,下载的二进制文件以随机整数值存储在"%Temp%"目录中。图3:去模糊处理的VBS宏代码Emotet有效载荷下载的可执行文件打包了一个定制的打包机,它加密了隐藏Emotet可执行文件的数据和加载它的代码。执行时,使用涉及"Base-64解码"和"XOR"的自定义算法在内存中解密此数据。在挂起模式下创建一个新进程,解密后的Emotet二进制文件将写入该进程的地址空间。  图4:用于解密Emotet的解密算法的伪代码和加载它的代码。当控制权移交给新进程时,它在"C:\windows\system32\"中创建自己的副本,文件名是通过从一组预先确定的硬编码字符串中附加两个字符串创建的(图5)。字符串的组合是根据受感染系统卷的"卷序列号"选择的。文件名示例如下:lookuprpc.exe家庭服务.exe提供程序nvidia.exe"恶意软件还会为删除的可执行文件创建系统服务。图5:用于文件名的硬编码字符串列表一旦服务启动,CreateTimerQueueTimer Windows API将被调用,其回调函数用于定期触发负责与命令和控制(C&C)服务器通信的核心恶意代码,发送收集的信息,并等待来自服务器的命令。主机和服务器的主机名和服务器的权限是否受到攻击,以及主机和服务器的权限是否受到影响。 图6。感染数据成功发送到服务器(&C)恶意软件使用API调用"RtlGetVersion"和"GetNativeSystemInfo"来获取系统信息,如图6所示。"dword"是从这些API调用返回的值中烘焙出来的,这些值包含以下值:处理器体系结构、操作系统类型、操作系统版本和服务包。 图7:收集系统信息的代码。收集到的信息通过用户代理"Mozilla/4.0(兼容;MSIE 7.0;Windows NT 6.1;Trident/4.0;SLCC2;.NET CLR 2.0.50727;.NET CLR 3.5.30729;.NET CLR 3.0.30729;Media Center PC 6.0;.NET4.0C;.NET4.0E)"的HTTP POST请求进行加密并发送到C&C服务器。恶意软件每15分钟轮询一次新命令,如果C&C服务器没有响应,防御cc软件,它将尝试从服务器的硬编码列表中联系下一个服务器。C&C服务器IP地址以十六进制DWORD格式存储,后跟端口号,如图7所示。 图8:C&C服务器IP地址的硬编码列表。结论Emotet是一种多组分恶意软件,因在受感染主机上下载其他恶意软件而闻名。有报道称Emotet变体具有网络传播功能,但我们在最近的活动中看到的有效负载都没有这种功能。Zscaler ThreatLabZ正在积极监控这一威胁,并将继续确保Zscaler客户的覆盖范围。Manohar Ghule技术分析。Zscaler_媒体_中心2_博客_发布_1-R1