来自 应用 2021-06-08 05:17 的文章

防ddos_深信服云盾_新用户优惠

防ddos_深信服云盾_新用户优惠

在这个云服务和分布式内容交付网络(CDN)相互连接的时代,CDN服务提供商和安全专业人员都必须认识到并理解这些系统在现代企业中可能带来的风险。对于公共部门和私营部门中利用CDN平台动态交付web内容的组织来说,对内容进行常规监控也很重要。否则,恶意的第三方内容可能会在目标组织不知情的情况下被加载到目标组织的网站上,给不知情的访问者带来难以言喻的风险。阿富汗政府"水坑"ThreatConnect研究小组最近观察到一个有针对性的跨站点脚本(XSS)"驾车"攻击,利用单一内容交付网络资源,通过几乎所有阿富汗政府主要官方网站分发恶意Java小程序。有问题的受损CDN资源是一个JavaScript文件,托管在[http:]//cdn.阿富汗[.]af/脚本/gop-脚本.js域名cdn.阿富汗【af】af是一个合法的CDN网站,由阿富汗通信和信息技术部(MCIT)使用,cc防御购买,承载在许多官方网站上显示和使用的web内容政府af网站。javascript URL([http:]//cdn.阿富汗[.]af/脚本/gop-脚本.js)来自众多阿富汗政府官方网站,包括:[http:]//堪培拉,阿富汗[.]af/en(阿富汗驻澳大利亚堪培拉大使馆)[http:]//赫拉特政府[.]af/fa(赫拉特省地方政府)[http:]//政府财政部[.]af/en(外交部)[http:]//moci.gov网站[.]af/en(工商部)[http:]//教育部政府[.]af/en(教育部)[http:]//财政部[.]af/en(财政部)[http:]//墨西哥政府[.]af/fa(司法部)[http:]//mowa.gov网站[.]af/fa(妇女事务部)[http:]//oaacoms.gov网站[.]af/fa(行政事务办公室和部长会议)此javascript URL本身很可能是合法的,ddos攻击以及防御方法,但攻击者获得了对该文件的访问权限,并在脚本开头添加了以下恶意javascript函数:文档.写入("");文档.写入("");注意政府af网站不需要单独受到攻击,就可以将此攻击传递给网站的访问者,因为是后端CDN基础设施为恶意脚本提供服务。李克强:有针对性剥削的先兆?从gop的HTTP响应最后修改的时间戳判断-脚本.js,即2014年12月16日星期二格林尼治标准时间08:07:06,这种恶意的CDN泄露实际上是最近发生的。事实上,就在同一天,中国总理李克强将在哈萨克斯坦阿斯塔纳会见阿富汗首席执行官阿卜杜拉,讨论基础设施建设和双边合作问题。查看中国大使馆网站上刊登的克强会见阿卜杜拉的图片的EXIF元数据,我们注意到2014年12月16日星期二07:43:31修改时间以及网站[.]cn水印位于右下角。这表明,克强和阿卜杜拉的照片很可能是在07:43:31之前拍摄和编辑的。虽然编辑工作实际发生在哪个时区(哈萨克斯坦或中国)还不明确,cdn高防ddos,但我们假设日期时间戳参照格林威治标准时间,因为新闻稿说"在当地时间12月15日下午……",如果我们假设照片和下午的会议发生在阿拉木图标准时间13:43之前(+0600)这将与格林尼治标准时间07:43的时间戳紧密对应。共和党的修改-脚本.js袭击者在格林尼治标准时间08:07:06被袭击者跟踪,高防cdn万能,距离克强会见阿卜杜拉几个小时的窗口非常近。值得一提的是,6月20日,安全研究人员PhysicalDrive0观察到希腊驻北京大使馆的一个恶意Java文件也发生了类似的情况。当时,由克强率领的中国代表团正在雅典访问希腊总理萨马拉斯。安全研究人员R136a1又名"黄金使者"发布了一个后续博客,详细分析了希腊大使馆的妥协。虽然这两个独立的事件没有直接关系,但对中国著名代表团和/或双边会议当天或前后的部长级和官方政府网站的状况进行进一步研究,可能会产生更多的兴趣模式。Java恶意软件重叠仔细检查预先准备好的恶意JavaScript代码,我们会注意到更新.javaplug-Palo Alto Networks博客中的"[.]com命名约定"和"C2域URL结构"中的java se[.]com发布了使用谷歌代码进行指挥和控制并与中毒飓风行动相关联的攻击东亚的文章。然而,恶意的文档.写入截至2014年12月18日,以上列出的driveby url都会导致403个被禁止的错误。虽然403个被禁止的错误看起来像是一个分析的死胡同,但ThreatConnect的研究还发现了一个向VirusTotal提交的恶意javaapplet,证实了这种恶意活动的性质。这个Java小程序SHA1:388e6f41462774268491d1f121f33618c6a2c9a,截至12月21日没有检测到防病毒程序。该小程序包含其恶意类文件,路径为"jre7u61windows/x86"/更新.class". 这个类文件从[http:]下载并解码XOR 0xC8编码的WindowsPE可执行负载//政府财政部[.]af/content/images/icon35.png,在阿富汗外交部官方网站上托管,该网站也受到共和党脚本XSS的影响。使用ThreatConnect中存档的历史上下文,ThreatConnect研究得出结论:这个Java小程序与applet SHA1的源代码相同:ADC162DD909283097E72FC50B7AB0E04AB8A2BCC,此前,ThreatConnect Research在"毒害飓风"行动中观察到了相关网址[http:]//jre7.java se[.]com/java.jar文件2014年8月15日。此applet具有相同的类路径,并从URL[https:]//amco下载XOR 0xFF编码的有效负载可执行文件-triton公司[.]日本/日本/德国/英寸jpg. 与此特定Java driveby活动相关的其他指标和上下文可在ThreatConnect Common Community Incident 20140815A:Java se APT driveby(2014年10月2日共享)中找到Windows PE负载从[http:]下载的XOR 0xC8编码有效负载//政府财政部[.]af/content/images/icon35.png解码为Windows PE可执行文件SHA1:72D72DC1BBA4C5EBC3D6E02F7B446114A3C58EAB此可执行文件是一个自解压(SFX)Microsoft Cabinet可执行文件,该文件使用"OnAndOn信息系统有限公司"的有效证书进行数字签名,序列号为"1F F7 D8 64 18 1C 55 5E 70 CF DD 3A 59 34 C4 7D"。同一证书还用于对下载此恶意软件的Java小程序进行签名。此可执行文件将删除以下文件:SHA1:2068260601D60F07829EE0CEDF5A9C636CDB1765(进程空间)合法的Microsoft调试工具用于Windows可执行文件,加载数据库生成.dllSHA1:E2D93ABC4C5EDE41CAF1C0D751A329B884D732A2(数据库生成.dll)加载到上面的进程空间,使用与PlugX后门最常见的相关联的DLL侧加载技术。SHA1:5C8683E3523C7FA81A0166D7D127616B0634E8D(自述文件.txt)恶意加密的后门二进制blob由加载数据库生成.dll这个后门连接到以Oracle Java为主题的命令和控制(C2)域oracle0876634.javaplug-in[.]com。注意,javaplug-in[.]com是在[http:]//cdn.阿富汗[.]af/脚本/gop-脚本.js作为[http:]//更新.javaplug-在[.]com/o/j.js中,确认这个Java恶意软件事实上与阿富汗MCIT CDN XSS漏洞直接相关。这一活动的完整指标和检测恶意软件证书的YARA规则可以在20141217A事件下的ThreatConnect公共社区中找到:阿富汗政府javadriveby和签名APT_OnAndOn_雅拉证书.结论随着美国和北约减少在阿富汗的兵力,中国正摆出姿态来填补西方留下的影响力缺口。北京计划推动与塔利班的多边和谈,并建立旨在支持阿富汗经济的主要交通项目,北京一直将阿富汗视为其更广泛的南亚战略的一部分。通过利用和选择多个部长级网站使用的阿富汗网络基础设施,中国情报部门将能够利用阿富汗政府网站作为专题和可信的分发平台,利用一个隐藏的入口,向各种全球目标广布恶意有效载荷点。这是一个典型的"水坑"攻击的变种,攻击者很可能会感染阿富汗政府以外的受害者,ddos攻击技术与防御方法研究,这些受害者碰巧正在浏览任何一个CDN客户端系统,特别是参与计划中的部队裁减的伙伴国。重要的是要考虑到,企业并不能不受这种策略的影响,而且这不仅仅是一种被合适的威胁参与者所使用的技术。如果一个企业的网站利用CDN来加速内容交付,那么必须预料到意外的后果。幸运的是,现在的浏览器实现了一个称为"内容安全策略"的安全概念。只要服务器的响应头配置正确,第三方内容就可能被限制为源于狭窄的白名单。正如攻击者将恶意内容大量分发给用户或CDN服务向用户分发web内容一样,安全专业人员必须能够以人和机器都可读的格式快速分发可操作的威胁情报。ThreatConnect是业界首个全面的威胁情报平台,使企业能够协调来自多个来源的威胁情报的聚合,使用集成分析和强大的AP