来自 应用 2021-05-02 22:15 的文章

ddos防御_济南高防服务器_如何解决

ddos防御_济南高防服务器_如何解决

特斯拉探员用电脑抢占介绍Zscaler ThreatLabZ最近遇到了一个攻击链,在这个攻击链中,用户抢占被用来传递一个名为"agenttela"的商业键盘记录器,意图窃取机密信息。键盘记录器的有效载荷被配置成将被盗信息传回网络抢占域,该域在攻击发生前两个月就已注册。本案中的恶意域名是"diodetechs[.]com",试图模仿diodetech[.]com,后者属于一家合法的咨询公司,ddos防御方案包括哪些,为全球企业提供各种服务。我们在本月早些时候通知了二极管技术公司有关攻击的信息,并且攻击域已经被暂停。键盘记录器agenttela是一种高级键盘记录器,具有剪贴板记录、屏幕键记录、屏幕捕获和从不同的web浏览器提取存储的密码等功能。它是用.NET编写的,支持所有版本的Windows操作系统。在本博客中,我们将分析在涉及网络抢占域名"diodetechs[.]com"的攻击中使用的agenttela有效载荷图1:agentsla keylogger的订阅包感染循环感染周期通常从以电子邮件附件形式到达的恶意office文档开始。该文档使用这里介绍的社会工程策略来引诱用户运行嵌入式宏,该宏将下载并安装恶意软件可执行文件。恶意软件可执行文件是托管在以下位置的agenttela keylogger:二极管探测器/抄送.exe【网络抢占域名】MD5-E41117E6974363CAC8B37E5E3FF5D07A6 图2:AgentSla配置面板安装从位置"%temp%下载并执行agentsla负载\抄送.exe". 它把自己复制为"JavaUpdtr.exe在"%Application Data%\Java\"目录中,假装是Java更新程序。它还会创建以下注册表项,以便在系统重新启动时保持永久性:HKEY\U USERS\Software\Microsoft\Windows\CurrentVersion\Run@Java Updtr然后安装程序启动一个新进程'MSBuild.exe'在挂起模式下,在恢复执行之前将自身注入此新进程。这是启动键盘记录、屏幕捕获和其他信息收集模块的地方。作者利用合法的密码恢复工具,国外免费ddos防御,如IEPasswordDump和MailPassView从internetexplorer和microsoftouch窃取用户凭据图3:嵌入式IEPasswordDump实用程序记录的击键信息保存在"%temp%\日志.tmp"纯文本格式,屏幕截图保存在文件夹"%appdata%\ScreenShot\"中。从受害者机器收集的信息每20分钟中继到远程C&C服务器。"机器人程序配置配置文件包含攻击者配置的模块的完整列表。该版本有多个模块,包括键盘记录、截屏、密码窃取等,云服务器ddos防御,如下图:图4:AgentSela机器人程序配置模块信息下面是此有效负载支持的模块的简要概述。USB扩展器–能够通过USB驱动器进行传播–能够从受害者的机器上卸载摄像头–能够通过受害者机器的网络摄像头截图–能够截图捕获用户活动KeyLogger–能够记录来自传统和虚拟键盘;它还可以记录剪贴簿中的数据密码窃取-能够从各种应用程序中窃取存储的密码,如Chrome、Opera、Yandex、Firefox、IE、SeaMonkey、Comodo、Chromium、dyndns、Filezilla、FlashFXP、Outlook、Netscape和其他Santi分析–能够终止多种防病毒、安全性,它还可以检测流行的沙盒和虚拟环境此外,agenttela能够在受害者的计算机上禁用UAC、Taskmgr、CMD、Run、Control Panel、Regedit、SystemRestore等。图5:agentsla禁用系统特性网络活动成功安装后,我们分析的有效负载都连接到agenttela[.]com,以检查键盘记录器软件更新,如下所示:图6:代理C&C活动然后将截图发送到远程服务器。它发送的数据格式type={0}&hwid={1}&time={2}&pcname={3}&logdata={4}&screen={5}&ipadd={6}&wbscreen={7}&client={8}&link={9}&username={10}&password={11}&screen}name={12}&site}username={13} 命令说明网络摄像头通过网络摄像头将采集的图像发送到C&C服务器截屏将截图发送给C&C键盘记录将击键日志发送给C&C更新更新键盘记录器二进制文件信息把受害者的机器信息发给C&C卸载卸载二进制文件密码把偷来的密码发给C&C 结论我们对这一攻击链的调查始于一个企业客户的keylogger有效负载在云沙箱中被标记。进一步的分析揭示了利用抢占来传递恶意软件的可执行文件。注册恶意域的同一天,dns高防cdn怎么样,这些声称是"采购订单"的恶意文档被修改用于攻击。Zscaler ThreatLabZ将继续监控并确保覆盖这些恶意软件有效负载。博客作者:Abhaykant Yadav,超强cc防御,Decend DesaiZscaler_媒体_中心2_博客_发布_1-R1