来自 应用 2021-05-03 00:15 的文章

防ddos_宁波高防服务器_零误杀

防ddos_宁波高防服务器_零误杀

一个诈骗网络的剖析-MultiPlug在最近检查我们的云沙箱数据时,我们发现了一个大型MultiPlug网络,它吸引了我们的注意,因为它的代码签名证书的使用模式和其宿主基础设施的广泛性。我们在网络上发布了一个新的插件:安装一个新的恶意程序包。搜索中毒被用来诱骗用户安装诈骗软件,linux防御cc,诱饵包括破解的合法软件、盗版音乐和电影,ddos攻击防御鱼目混,以及用户可能正在寻找的其他文件和文件。这个安装程序假装有助于加快下载速度,在上钩并执行文件后,用户将看到几个典型的安装程序对话框之一,承诺提供用户最初搜索的内容。无论用户是否意识到错误,"安装程序"都将继续从远程web服务器获取多个加密的有效负载。即使用户单击各种"拒绝"、"取消"或"退出"按钮,有效载荷的安装仍将继续。在整个过程中,诈骗犯还收集系统信息并将其发送到远程web服务器。通过HTTP POST发送到远程服务器的数据scamware的几个典型组件包括一个名为"compfix"的有效负载,它作为系统服务安装在引导时运行,以及一个名为"SystemStrengthener"的有效负载。"compfix"作为一项服务安装,除了上面提到的善意的有效负载之外,这个scamware对用户的浏览器配置做了一些更改。如果安装了Chrome,则会将两个DLL放入Chrome安装目录中,这些DLL的版本似乎已被修改并且稍微过时chrome.dll’. Chrome和internetexplorer还可以接收到监视用户行为和广告的浏览器扩展。另外,IE附加组件被标记为不经管理员批准即可卸载。带有无效证书的修改Chrome dll用户被阻止禁用scamware加载项用户被阻止禁用scamware加载项新的Chrome加载项未经通知就安装了新的Chrome加载项,与以前的版本相比,除了一些额外的混淆层,这个恶意软件的技术方面相当标准。然而,托管网络的广度和使用的代码签名证书的模式,使这一活动变得有趣。我们发现了33个独特的证书,ddos云防御云,都是由同一个证书颁发机构Certum/Unizeto Technologies颁发的。(注意:我们还发现了其他使用Certum证书的广告软件活动,尽管它们似乎不相关。)Unizeto Technologies/Certum颁发的证书(节点图例--黄色:颁发者,蓝色:签名者)这33个证书用于签署2,在447个独立主机(323个唯一域)上托管了783个骗局。虽然广告软件活动在AV和安全公司阻止的情况下,怎么建立高防cdn,利用代码签名来轮换他们的证书是很正常的,但使用的唯一签名证书的数量表明这里有些不同。此外,签名中的数据表明,所有证书都由拥有免费电子邮件帐户的个人拥有。这阻碍了天真的黑名单和归属,因为没有明确的方法将竞选活动与特定的组织联系起来。诈骗网络概述(节点图例——黄色:发卡行,蓝色:签名者,红色:主机,粉色:域,企业防火墙,绿色:File-MD5)鉴于这一多重欺诈活动的性质,很容易假设背后的组织比通常的广告软件/诈骗犯有更多的邪恶意图。这就是说,这可能只是一个组织的问题,试图使他们的投资回报率最大化的大型基础设施,他们运作。不管他们的意图如何,企业都应该提防即使是看起来最无害的广告软件,因为它们具有执行系统和网络侦察、在受感染主机上实现持久性、传递任意有效负载以及控制系统、应用程序和数据的能力。 Zscaler_媒体_中心2_博客_发布_1-R1