来自 应用 2021-05-03 01:10 的文章

高防_ddos清洗中心_怎么办

高防_ddos清洗中心_怎么办

NjRAT和H-蠕虫变异感染继续上升介绍 Nzrat特洛伊木马也称为Bladabindi,是一种远程访问工具(RAT),DDOS有效防御,首次出现于2013年,在中东地区非常普遍。njRAT是使用微软的.NET框架开发的,和许多其他rat一样,它提供了对被感染系统的完全控制,java防御ddos攻击,并向远程攻击者提供了一系列功能。我们已经看到攻击者利用流行的游戏和软件应用程序漏洞和keygens作为诱饵感染最终用户。 njRAT有很多变种。H-Worm,也被称为Houdini,什么企业需要ddos防御,是最受欢迎的变种之一,据报道曾被用于攻击国际能源部门。在这个博客中,我们将提供一个关于njRAT和H-Worm的简要概述,以及我们在过去几个月所看到的H-Worm活动的分析。 新泽西州 njRAT特洛伊木马仍然是最成功的老鼠之一,因为广泛的在线支持和网络罪犯的教程。有各种.NET混淆工具,使防病毒解决方案难以检测,并阻碍安全研究人员的分析。njRAT将动态DNS用于命令和控制(C2)服务器,高防cdn504错误,并通过可配置端口使用自定义TCP协议进行通信。 来自受感染系统的C&C回调包括以下信息:机器人标识符(基于生成器中的可配置字符串和卷序列号)计算机名(base64编码)操作系统信息是否存在连接的网络摄像头(是/否)机器人程序版本国家代码活动进程窗口的标题以下是C&C信息示例: 1953年ll | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | 124;'|'| QWRTAW5PC3RYYXRVCJOQZPCV2LUZG93C1XZEXN0ZW0ZMLXJBWQUZXHL0G9UMJDCCHL0AG9ULMV4ZSAG2LTCGXLX3NVY2TLDF9ZZXJ2ZXZXXZXXZXXZXXZXZXZXXZXZZXXJ0ZW5PC3RYYXRVCJOQZPCV2LUZG93C1XZEXN0ZW0ZLXJBWQUZZXLIC0GZPCUHL0AG9UMJDCCHL0AG9UJ0AG9ULC40DECOD6; 2(当前聚焦窗口):管理员:C:\Windows\system32\命令行.exe-  njRAT允许远程攻击者在受感染的系统上执行以下活动:文件系统更改记录击键下载并执行远程文件远程桌面网络摄像头接入麦克风接入获取多个应用程序的用户凭据反向命令shell我们看到的njRAT感染的最新实例是版本0.7d。下面是攻击者可以访问的nzrat控制面板的一些屏幕截图: njRAT C&C控制面板 njRAT建筑面板 njRAT作者信息 H型蜗杆 H-Worm是一个基于VBS(visualbasicscript)的RAT,我们相信它是从njRAT源代码中派生出来的。H-Worm为网络罪犯提供与njRAT类似的控制。它也为其C&C服务器使用动态DNS,但与njRAT不同,它使用POST请求和HTTP用户代理字段从受感染的机器中过滤敏感信息。C&C通信POST请求通常使用参数"cmd"和"param",如下表所示: H-Worm Bot命令摘要Bot命令说明例子连接URI执行执行响应中发送的vb代码执行vbscript代码没有更新将bot代码更新为提供的代码(覆盖现有文件)更新新vbscript bot代码没有卸载从受害计算机中删除bot卸载没有发送从URL下载内容并在目录中转储发送c:\没有站点发送从URL下载内容并使用指定的名称保存网站发送c:\脚本.vbs没有接收将文件上载到C2域接收C:\Users\User\Documents\密码.txt发布/正在接收枚举驱动程序发送受害者系统驱动器的信息枚举驱动程序驱动程序/后置枚举枚举faf发送给定路径的目录列表枚举fafC:\Users\User\POST/is枚举路径进程枚举发送受害者系统的进程列表枚举过程POST/is枚举过程命令外壳通过受感染主机上的"%comspec%/c"运行命令命令外壳小算盘POST/is命令外壳删除从受害者的系统中删除指定的文件或文件夹删除C:\Users\User\Documents\没有退出过程通过taskkill终止指定的进程ID退出流程没有睡觉设置"就绪"信标之间休眠的毫秒数(默认为5000)睡眠10000没有 来自受感染系统的C&C回调在"用户代理"字段中包含以下信息:机器人标识符(基于生成器中的可配置字符串和卷序列号)计算机名用户名操作系统信息机器人程序版本防病毒信息(默认值'nan-av')USB扩频[true/false],哪家高防cdn好,带有从bot的注册表项获得的日期。以下是攻击者可以访问的H-Worm控制面板的一些屏幕截图,它们来自两个不同的变体: H-Worm plus C&C控制面板 H-蠕虫控制中心[类似于njRAT的经理] H-Worm plus版本生成器面板 H-Worm扩展/精简版C&C控制面板 我们继续看到许多新变种的H-蠕虫在野外出现。以下是我们在2015年跟踪的一些活动H-Worm变体的版本字符串:23az版本你好KKM不错的电脑mod版本加普桑safa7垌22天空ESP电脑水刺这个小丑蠕虫黑社会决赛AB DELL提供的v1.8.3版AB DELL提供的v1.8.7Dz-47蠕虫DZ-47蠕虫以下是我们在2015年观察到的现役指挥控制服务器的地理分布: 这个RAT家族最流行的特性之一是使用动态DNS进行命令和控制服务器通信。2015年,我们发现来自以下动态DNS域的多个子域被恶意软件作者滥用用于C&C通信:成人网电缆-调制解调器.orgdz47.cfddns.net网站dnsd.信息数字录像机-ddns.com网站dyndns.org网站迪努网ftp21.net版mooo.com网站myq公司-请参见.com没有-ip商务不,我没有-ip.org网站重定向.net出售-it.netservecounterstrike.com网站serveftp.com网站服务http.comservequake.com网站赛德斯.net用户32.comzapto.org网站结论njRAT和H-Worm变种感染继续上升,虽然据报道这种威胁在中东地区更为普遍,但我们在世界其他地区也继续看到感染。尽管微软在2014年6月曾试图破坏这个臭名昭著的老鼠的C&C频道,但我们仍然看到恶意软件作者使用各种动态DNS服务进行C&C服务器通信。它仍然是当今野外最受欢迎和流行的老鼠之一。Zscaler ThreatLabZ部署了多层保护来抵御这种威胁,以确保客户保护。过去对此的报道threat://www.fidelissecurity.com/sites/default/files/FTA%201010%20-%20njRAT%20The%20Saga%20Continues.pdfhtp://phishme.com/the-Nzrat的回归/http://blog.trendmicro.com/trendlabs-security-intelligence/new-rats-emerge-from-leaked-njw0rm-source-code/http://www.s.网站ymantec.com/connect/blogs/simple-njrat-fuels-nascent-middle-east-cyberce-scenehtps://blogs.mcafee.com/mcafee-labs/trail-nzrathttps://www.fireeye.com/blog/threat-research/2013/09/now-you-see-me-h-worm-by-houdini.htmlAnalysis作者:Deep Desai&John MancusoZscaler_媒体_中心2_博客_发布_1-R1