来自 安全 2021-06-08 06:16 的文章

ddos防御攻击_长沙银行云盾_超稳定

ddos防御攻击_长沙银行云盾_超稳定

鉴于Mandiant最近的发现引发了关于"APT1"又名"评论群"威胁的各种议论,我们需要保持警惕,记住还有许多其他复杂的威胁集团仍然对全球企业构成风险。我们不能沾沾自喜,忽视其他许多更难找到的目标威胁,这些威胁也与中国有关联。这些在雷达下飞行的威胁可能对企业造成同样的损害,在获得知识产权方面同样有效。回顾性分析是进行网络威胁分析的关键步骤,也是cyber Squared一贯练习的一个步骤。通过使用ThreatConnect.com网站《开源和人群分析》,Cyber Squared对一系列相关的"驾车下载"(通常被安全行业称为"水坑")进行了回顾性分析。这些有针对性的攻击是在2012年9月底观察到的,与在野外发现的CVE-2012-4969 IE零日相关。通过长期分析,包括使用ThreatConnect.com网站,Cyber Squared能够关联多个事件。这表明,很可能是一个中国威胁集团对一系列袭击负责。驾车下载网站1:马来西亚旅游网站2012年10月初,我们发现了第一个"驾车下载"网站。它的形式是在一个被破坏的马来西亚旅游网站上串联互联网浏览器和Java漏洞。攻击者使用一个格鲁固.swf以及一个带有硬编码有效负载URL的CVE-2012-4681 Java类漏洞。Java漏洞是以Java类文件的形式出现在/cve2012_java0day/Gondvv.类. 当受到攻击时,它会创建一个VBScript,从硬编码的URL下载可执行负载,并将其执行为"小算盘"从临时文件夹。在此攻击中,有效负载可执行文件位于hxxp://news.etrustalive[.]通信/mstcinits.exe.在本例中,可执行文件随后将一个较小的主模块可执行文件放到系统文件夹中,然后运行它。恶意软件的最后一个阶段连接回位于的服务器博客.SymantectService37[.]通过TCP/80进行通信。该漏洞至少在2012年10月初至11月中旬出现。虽然确切目标不明,但受影响地点的性质表明,攻击者可能是针对在马来西亚有利益关系的个人,或计划前往马来西亚旅游的利益相关者。马来西亚旅游网站上的Java漏洞在11月的某个时候被删除。然而,攻击者显然还没有结束,因为2013年1月29日,Cyber Square发现旅游网站上存在一个新的Java类漏洞。这次攻击者托管了一个CVE-2013-0422漏洞。这个特殊的漏洞包含了一个有趣的有效负载机制。当受到攻击时,Java代码将Windows系统命令发送到命令行,调用Windows命令行FTP客户端(ftp.exe文件).然后将命令行参数传递给程序,以在中国使用FTP服务器进行身份验证(使用硬编码登录凭据),并下载文件"dwin.exe文件从服务器上。有趣的是,尽管Java漏洞攻击只下载了一个可执行文件,但攻击者实际上在FTP服务器上安装了两个可执行文件。第二个有效负载可执行文件表明,在野外某处存在未被发现的第二个漏洞利用服务器,导致下载第二个有效负载,或者攻击者只是粗心大意,无意中留下了第二个可执行文件。这个java漏洞所下载的负载,dwin.exe文件,然后从hxxp://117.55.241[第58号]/索引.zip(印度加齐亚巴德)。这个文件很可能是一个被注入内存的加密后门。FTP服务器上的第二个可执行文件从亚马逊网站[.]美国/winsever.dat服务器. 我们对第二个文件感兴趣,第三方ddos防御,因为网站[.]美国域名此前已被认定为威胁连接中的一个威胁指标。此外,正如我们将看到的下一个驱动下载站点,这个文件提供了两个下载站点之间的清晰链接,并允许我们推断这些驱动下载站点是单个威胁组的工作。下载站点集群:一系列相互连接的恶意网站追溯到2012年10月,Cyber Squared还发现了另一个下载站点,在本例中是一个由WordPress支持的站点公司[通信]。这个特定的站点有三个漏洞:一个格鲁固.swfCVE-2012-4969 IE漏洞攻击、CVE-2011-3544 Java漏洞攻击和Gondvv.类CVE-2012-4681 Java漏洞利用。在这里,漏洞有效负载托管在另一个下载站点上,除了使用嵌入式负载的CVE-2011-3544 JAR漏洞利用。托管有效负载的下载站点位于hxxp://www.everesume[.]信息/ConnieEvans/。这个网站,当正常显示时,有一个有趣的诱饵页面,包括一份伪造的员工简历和某个康妮·埃文斯的联系页面。从截图中我们可以看到,这个下载站点似乎是针对石油或海运行业的人力资源或雇主。这可能表明攻击者所针对的个人或组织的类型。CVE-2012-4969攻击从下载了一个自定义XOR 0x70模糊可执行文件hxxp://www.everesume[.]信息/康涅埃文斯/下载/realupgrades.exe,带有Gondvv.类有效载荷hxxp://www.everesume[.]信息/康涅埃文斯/下载/测试.exe.所有这些不同的可执行有效负载似乎都是一种相关的自定义后门类型。他们都删除了一个名为"winsever.dll"它连接到TCP/80或TCP/443上的命令和控制(C2)服务器。观察到的指挥控制服务器是qozo[.]信息,[.]美国,IP地址为184.22.42[.]167。值得注意的是,一些反病毒供应商会检测到realupgrades.exe作为PlugX/Korplug的一个变体,这是一个著名的高级持久远程管理工具(RAT)。有了这些知识,威胁参与者可能会从PlugX/Korplug(以前的Sogu)后门家族中获取代码,这些代码在其他中国的APT活动中也曾使用过。由于恶意软件很容易在这些黑客组织之间共享,公司网站ddos攻击防御,所以我们不能肯定地说,这个威胁集团和PlugX的开发者有直接的关系。10月晚些时候,everesume[.]info drive-by-download站点下线,heavengameshow[.]com驱动下载的有效负载转移到了一个新的站点,位于hxxp://news.gallupdesign公司[美国]。这个新发现的驾车下载网站Gondvv.类和CVE-2011-3544 Java漏洞利用完全相同的漏洞代码并重定向到合法的网站从网页的HTML代码中的元刷新。这个驾车下载网站的时间安排很有趣。这一事件发生在10月底,即2012年总统大选前不久,当时盖洛普的民调和统计数据将成为许多APT攻击者感兴趣的重要话题。又一次,有效载荷是一个"winsever.dll"后门滴管。相关恶意软件:2012年10月20日,在heavengameshow[.]com drive by download站点脱机之前,我们在服务器上发现了一个无法与任何特定漏洞攻击匹配的可执行文件。可执行文件也与另一个不同winsever.dll后门滴管。此文件的防病毒检测仍然很低,它请求imap.labscore公司[信息]。此域注册的电子邮件地址为eunigeria[at]雅虎,这一点我们已经在通用驱动下载集群和C2基础设施中的其他域中看到过。我们还发现了其他相关恶意软件的证据,我们认为这些恶意软件与这组威胁有关。2012年10月31日提交给ThreatExpert的一份文件似乎与该组有关。这个恶意软件是一种愚蠢的类型,由其图标和行为表明。该恶意软件会丢弃一张万圣节主题的动画GIF的诱饵图片,ddos防御怎么能,以及两个二进制文件(msginit.exe以及msgs.exe文件)连接到博客.etrustalive[.]通过TCP/80进行通信,其方式与10月份被黑客攻击的马来西亚网站上的恶意软件有效载荷类似。我们不确定这个二进制文件的目标是谁,也不确定它是通过仿冒邮件还是通过目标驱动下载站点交付的。尽管如此,由于相关的C2域,它似乎确实与其他恶意软件相关联。最后,Cyber Squared在2012年12月底发现了一个单独的驱动下载,防御ddos方案,我们相信它也被同一个威胁参与者使用。这个"drive by download"站点是在12月18日提交给Jsunpack的,它似乎是一个加载iframe到Java漏洞的网页,然后刷新为合法的nasa.gov网站网页。同样,这个域使用/cve2012_java0day/Gondvv.类以及带有嵌入式负载的CVE-2011-3544漏洞攻击(card3987.jar)。来自此攻击的恶意软件二进制文件似乎与winsever.dll在网站上找到了滴管有效载荷。他们把代码注入进程名,并在184.22.41[.]124连接到命令和控制IP。此IP也用于amazombuy[.]us,cc防御去掉,它还将此恶意软件与trulyasia[.]电视漏洞和FTP服务器相关联。攻击时间表结论:我们认为这三种恶意攻击都是在同一注册服务器中重复使用的一种恶意攻击。可用信息的总和,以及在其中观察到的关联ThreatConnect.com网站这表明,这些驾车下载网站是一个单一的中国APT威胁集团的作品。我们相信,这些攻击者在未来将继续以有针对性的鱼叉钓鱼消息和/或有针对性的驾车下载式攻击来攻击受害者。赛博方阵威胁情报小组继续有针对性地追踪这一威胁和其他威胁