来自 应用 2021-05-02 19:11 的文章

ddos防御攻击_高防御机房_秒解封

ddos防御攻击_高防御机房_秒解封

更新:Petya勒索软件爆发在WannaCry爆发一个月后,华为ddos防御,我们又看到了另一次大规模勒索软件爆发,可能涉及Petya勒索软件家族变种。最初的载体已经被证实是来自MeDoc的软件更新包。随着我们了解更多,我们将继续更新我们的博客。来自多个国家的企业,包括乌克兰、印度、法国、俄罗斯和西班牙,vb防御ddos,vb怎么做ddos防御,受到本次勒索软件爆发的影响,所涉及的恶意软件系列据称是Petya勒索软件家族的一个变种;然而,从我们的分析到目前为止,目前无法防御的ddos类型,我们发现该代码与之前的Petya变体之间几乎没有相似之处。这个勒索软件变体具有很强的毒性,一旦它感染了用户,它会通过SMB在企业网络中迅速传播有报告称,当有效负载无法使用登录用户的凭据在网络中传播时,它会加密受感染系统的主引导记录(MBR),从而导致它不可用勒索软件有效载荷还使用Windows管理工具命令行(WMIC)界面在SMB上进行横向移动。这就解释了为什么这次攻击是在万纳克里爆发后一个多月成功的,它利用了EternalBlue(MS17-010)漏洞,到目前为止,大多数系统上都应该已修补的保护措施应用Microsoft Windows安全更新MS17-010和CVE-2017-0199块旧协议(如本地网络上的SMBv1)禁用本地网络上的WMIC阻止连接到端口135、139,以及445防火墙上Zscaler如何帮助采取预防措施Zscaler在其中一个有效负载上具有通用特征码覆盖率,并添加了多个特征码和指示器,以阻止与此攻击相关的其他已知有效负载。高级威胁签名:Win32?勒索软件?Petya?U 116628 CVE?2017?U 0199内联AV签名:W32/佩特雅·温兹-1981年第32周/赎金。彼佳.J!Eldoradozscaler云沙盒提供了针对这些不断演变的勒索软件毒株的最佳主动防御线。示例有效负载运行的云沙盒报告如下所示:图1:Petya勒索软件初始交付向量的Zscaler云沙盒报告初始感染向量通过MeDoc通过HTTP交付的受损自定义软件更新包。勒索软件有一个使用Windows的蠕虫组件Management Instrumentation命令行(WMIC)接口和MS17-010(EternalBlue和EternalRoman)利用该接口在SMB上横向传播。图2:有效负载的初始感染和传播技术分析我们分析了来自此攻击的两个唯一有效负载,这两个负载都是Windows动态链接库(DLL)文件。这些DLL有一个没有名称的导出函数;它是使用序号值"#1"调用的,如下所示:\rundll32.exe"%s",#1还必须注意,这些文件是最近编译的,如下面的屏幕截图所示:图3:最近编译的DLL有效负载一旦执行,勒索软件有效载荷将在受害者的机器上执行以下活动:勒索软件例程中有一个检查,以查找感染标记,如果找到,将终止执行。这实际上是勒索软件有效载荷的杀手锏,阻止网络内的进一步传播:感染标记或Killswitch file=>C:\Windows\MalwareDLLFileName其中MalwareDLLFileName是主DLL的名称恶意软件在用户计算机上查找具有以下扩展名的文件并对其进行加密:.3ds.7z。accdb.ai.asp.aspx.avhd.back.bak.c。cfg.conf.cpp文件.cs.ctl.dbf文件.磁盘.djvu.doc.docx.dwg.eml文件.广州分公司.h。硬盘.kdbx.mail.mdb.msg.nrg公司.ora加密文件的扩展名与以前相同。图4:如果用户以管理员权限登录,则枚举要加密的文件,恶意软件负载还将加密主引导记录(MBR),并在系统重新启动时使系统无法使用。恶意软件然后创建一个计划任务来重新引导受感染的系统,如下所示:图5:计划任务,在系统重新启动后的一小时内重新启动系统,防御ddos最主要的是什么,臭名昭著的赎金单出现了,要求300美元比特币图6:赎金券重新启动受损系统和显示赎金券的延迟可能是为了给传播模块在网络中横向传播提供一个完整的小时,而没有任何迹象表明我们仍在分析传播模块,但如前所述,有一个涉及WMIC的新传播媒介,这可能是这次攻击成功的原因图7:利用WMIC进行横向移动我们没有观察到与这些样本相关的任何网络C&C活动结论WannaCry开始了一个勒索软件变体的新时代,武器化为横向运动机制。Petya的作者进一步添加了WMI接口向量,我们预计在未来几个月会看到更多的变体。此攻击显示了多层安全方法的重要性,并突出了应用安全补丁和保护内部系统(通过网络分段)存在的差距。Zscaler ThreatLabZ正在积极监控这一威胁,并将继续确保Zscaler客户的覆盖范围。妥协指标DLL E285B6CE047015943E685E6638BD837E 71B6A493388E7D0B40C83CE903BC6B04研究Zscaler_媒体_中心2_博客_发布_1-R1