来自 应用 2021-05-02 23:01 的文章

cdn高防_ddos高防ip如何使用_指南

cdn高防_ddos高防ip如何使用_指南

中微子运动使伽马鲁下降介绍中微子探索工具包(EK)今年的活动不如钓鱼者和钻机等更受欢迎的套件。但在过去的一个月里,我们看到了中微子活动的增加,更换ip防御ddos,多个活动同时使用了受损网站和广告服务图1:中微子在过去30天中的命中率尽管2016年大部分中微子活动都是通过其他合法网站进行的,但还是出现了一些新的中微子滥用活动。与2015年末观察到的几次活动一样,高防cdn招代理,最近这些活动的漏洞工具包的最终有效载荷是Gamarue/Andromeda。多个广告网络参与了恶意页面的服务,这些恶意页面提供其他广告内容和中微子登录页面。诽谤运动广告网络提供的内容包括两个iframe注入。其中一家提供广告内容,通常是从赌场相关的游戏网站上获取的。另一个请求来自同一主机的PHP页面,这将服务于另一个iframe,Tcpddos防御,该iframe指向同一IP上托管的几个中微子登录页域之一。在多次请求中间页之后,主机将停止服务iframe重定向,而是提供一个空白页,这使得枚举相关联的登录页变得困难。图2:中微子EK感染过程图3:来自恶意站点的iframe重定向Neutrino EK登录页相当简单,通常只是一个嵌入的Flash对象,而Angler的登录页包含高度模糊的JavaScript。本次活动中观察到的登录页与我们最近看到的大多数其他中微子登录页相同;只不过是一个嵌入的Flash漏洞,符合常见的中微子资源命名约定图4:中微子EK登录页登录页以标准EK格式提供恶意SWF服务。它利用flashplayer下载、解密并执行打包的Gamarue有效负载。图5:Flash漏洞有效负载图6:加密的恶意软件有效负载伽马鲁Gamarue/Andromeda是一种模块化特洛伊木马程序,是一个有充分记录的恶意软件家族,在过去几年中发生了许多变化。它经常被用来下载其他第二阶段的有效载荷或工具包,防御ddos限制端口,以及通过感染后下载的模块来扩展自己的功能。此示例试图联系托管在域上的命令和控制服务器,该服务器的命名方案与原始恶意站点相似。活动中看到的其他样本联系了类似的域名,托管在不同的IP上。有一次,僵尸网络C2与恶意域托管在同一个IP上。我们观察到Gamarue从回调域下载了其他模块。Gamarue使用机器卷序列号作为其僵尸网络注册的一部分。如果多次尝试在具有相同卷序列号的沙盒中运行样本,则注册将失败,并且不会下载其他模块。Gamarue基础使用几种反分析方法来避免在沙盒中运行。但是,可以绕过反分析功能,web防御ddos,方法是在"HKEY_LOCAL_MACHINE\SOFTWARE\Policies"下创建一个名为"is_not_vm"的注册表项,其值为卷序列号(32位十六进制数)。图7:Gamarue回调流量图8:Gamarue模块Gamarue/Andromeda在https://blog.avast.com/andromeda-under-the-microscope结论这个利用链是最近利用中微子EK进行反常活动的典型例子。通过使用广告服务提供攻击工具包,攻击者可以快速建立新的恶意域,而不必危害现有的合法主机。Gamarue仍然是中微子和其他攻击工具的常用有效载荷,因为它很容易定制,可以作为第二阶段感染的下载器或与其他模块一起扩展。为了帮助避免此类感染,用户应始终阻止不受信任的第三方脚本和资源Zscaler的ThreatLabZ已经确认了对中微子EK重定向和登录页脚本和Gamarue有效负载的覆盖,确保了使用Zscaler的互联网安全平台的组织的保护。IOC公司广告主持人:网站网站网站德尔塔夫网站speednetwork1.adk2x.com网站恶意域名:kkkj[.]ru(195.211.153.40,31.184.233.109)登录页域:gojjiraffe.top.顶部(108.61.221.86)费斯内克。上衣(94.177.249.150)kixmandrill.顶部(94.177.249.150)waterof.top公司(94.177.249.150)胡鲁克顶(94.177.249.150)回调域:zggg[.]鲁(95.213.192.70)zvvv[.]ru(95.213.192.70)znnn[.]鲁(195.211.153.40,31.184.233.109)SWF攻击:D834A9891C7438B13F4A0D34ED71C84A伽玛雷:A5EE3924786A8425A6C5BCFD8D6310FCZscaler_媒体_中心2_博客_发布_1-R1