来自 应用 2021-06-08 06:01 的文章

防御ddos_阿里云高防ip价格_指南

防御ddos_阿里云高防ip价格_指南

当过去事件的显著细节被记录下来,其他人就可以从中学习和研究它们,这就是历史。例如,你可以去任何一家图书馆阅读有关内战的资料。你可以读到很多战术上的小冲突和战斗。你还可以了解这些战术交战的结果,以及它们如何影响更大的作战行动,在这些战役中,高防cdn试用,两个主要交战方执行的是长期战略。这些战略中的许多影响了未来的战争战术,并且随着时间的推移,通过经验教训不断改进。这些成功和失败的数据都被记录下来了。虽然不是包罗万象,但在现代数字世界和传统的骨肉世界之间有着显著的交叉点。今天的网络防御和威胁情报专业人员在"战术战斗"层面理解这一点。他们理解并认识到组织需要有效地纪念和积累知识,以成功地执行他们的工作。不幸的是,安全行业中有些专业人士只从装配线工人的角度来看待威胁。当威胁降临时,他们会减轻每一个威胁,并等待下一个威胁,而不是为了预测未来而着眼于过去。幸运的是,ddos防御文章,ThreatConnect用户能够聚合他们现有的私人威胁情报,针对其他数据服务和安全事件进行分析,并最终对信息采取行动。在下面的例子中,我们将重点介绍Comment Crew(又名APT1)最近如何操作遗留基础设施,并使用它来针对各种受害者。尽管老生常谈,即使在网络上,历史也会重演。执行摘要:2014年3月中旬,ThreatConnect研究团队发现了一个活跃的Comment Crew服务器,该服务器托管恶意可执行恶意软件植入,使其显示为合法的文档文件(在SFX RAR可执行文件中)。这些恶意软件植入的诱饵文件包括最近的新闻文章和与当前地缘政治事件有关的报道,包括马航MH370航班失踪的情况,以及最近欧洲经济和跨大西洋贸易相关的新闻。CommentCrew基础设施命名约定的相似性和恶意软件属性突出了与午睡活动可能存在的重叠。3月17日,ddos云防御下载,premium ThreatConnect行业和用户社区共享了这些指标,事件20140314B:评论人员HFS APT活动。指挥控制(C2)服务器184.82.120[.]136(宾夕法尼亚州斯克兰顿)最近通过TCP/8080托管来自下图所示域的恶意内容:最值得注意的是gmailboxes[.]com和marsbrother[.]com多年来一直被ThreatConnect研究公司、众多安全行业研究人员和美国政府认定为与评论团队(又称APT1)有关联。2011年,不限内容高防cdn,首次公开提及这些领域。这表明,尽管安全行业意识到了这一点,但攻击者还是愿意主动重用旧的基础设施。对手很可能保持作战成功,因为一些安全专业人员在威胁情报方面拥有短期记忆和短视的方法。保留这些历史知识,并能够随着时间的推移不断丰富这些知识,这是一个成熟的威胁情报平台的一个关键特征。在这种情况下,ThreatConnect允许ThreatConnect Research和任何其他已导入和使用遗留的Comment Crew/APT1指示器的用户来丰富和跟踪基础设施。如果用户选择这样做,ThreatConnect会立即向他们发出任何基础结构或上下文更改的警报。ThreatConnect研究发现C2服务器(184.82.120[.]136)有多个ZIP和密码保护的RAR文件,其中包含可能在其他鱼叉钓鱼活动中使用的恶意软件植入。C2服务器还托管了伪装成.gif文件的其他可执行文件和实用程序,其中许多已被识别为"矛兵"钓鱼植入物使用的恶意工具和库,最有可能用于横向移动和网络持久性。分阶段鱼叉钓鱼有效负载:以下主要武器化的"矛式"有效载荷包括假文件植入物。ThreatConnect Research能够恢复以下文件:马来西亚MH370航班主题:马航MH370航班需要什么_它.zip(MD5:a4ea7b217f61adc2931edcb2416942ab)马航MH370航班需要找到什么it.rtf.exe文件(MD5:fa9694553e5f9a9443ff4a5229798d32)zerk.exe文件(MD5:8842babc819e2024541dcff62c003fe6)这一植入显然是指围绕马航MH370航班的新闻,并利用了一份包含文章摘录的诱饵文件。荷兰脉冲拖网捕鱼主题:pppp.zip文件(MD5:4D7A5F722A36E95712410844848DBE3)双脉冲拖网协议许可证.exe(MD5:331c16e915eedb18ca9477df4c88109c)WINWORD.EXE文件(MD5:0cf73c57f17b200ac7aac7688ae59265)这个植入物里有一份从荷兰政府网站上获取的诱饵文件。文章提到了荷兰渔民脉冲拖网许可证的批准,最初被欧洲议会否决。跨大西洋经济主题:跨大西洋经济2014新闻稿–2014年3月10日.zip(MD5:336C8F0C8BDE5B4BB3974ECDD53B1FAB)跨大西洋经济2014新闻稿-2014年3月10日.exe(MD5:3568f13f839a0551986292f7c9137aa5)记事本.exe(MD5:8842babc819e2024541dcff62c003fe6)这个植入物使用了这里的诱饵文件。最后阶段指挥与控制:最后阶段的植入物MD5:8842babc819e2024541dcff62c003fe6被马航MH370主题的滴管和2014跨大西洋经济主题的滴管一起丢弃,而拖网许可证主题的植入物下降了不同的MD5,0cf73c57f17b200ac7aac7688ae59265。这些最后阶段的植入是Comment Crew MiniASP特洛伊木马的变体,并连接到可能受损网站上的以下恶意URL:[http:]//www.ustoo网站[.]通信/cap2k/演示.png[http:]//www.ustoo网站[.]通信/cap2k/直流电.asp[http:]//www.ustoo网站[.]通信/cap2k/di.asp[http:]//www.ustoo网站[.]通信/cap2k/索引.asp[http:]//www.ustoo网站[.]com/cap2k/index1.asp[http:]//www.ustoo网站[.]通信/cap2k/研发服务提供商网站[网站]隶属于以医学为主题的美国太国际前列腺癌支持社区。这些网站[.]com回调URL与先前报告的Siesta活动相关的MiniASP回调非常相似,可在以下位置找到:[http:]//www.heliospartners公司[.]com/图像/演示.png[http:]//www.heliospartners公司[.]com/图像/设备_博客.asp,[http:]//www.heliospartners公司[.]com/图像/设备_输入.asp[http:]//www.heliospartners公司[.]com/图像/设备_邮件.asp值得注意的是演示.png在这两个位置找到的文件具有相同的图像,并且包含用于解密嵌入其中的编码可执行负载的相同算法。该加密算法记录在Mandiant APT1附录C:恶意软件库第72页。来自[http:]//www.ustoo网站[.]通信/cap2k/演示.png解码到MD5:B6618129FE6ED94969527E63141429C2(taskhostx.exe). 这个被解码的植入物是commentcrew Eclipse RAT的变体,它连接到恶意的动态命令和控制域帐户跳伞蟹[.]com,IP地址103.25.56[.]44(澳大利亚阿德莱德)。结论:具备定期保留、丰富和管理知识的能力是任何威胁情报平台的基本要求。分析员必须能够自动化和开发威胁周围的环境,使他们能够了解过去,cc防御在哪调整,更好地准备防御动态威胁参与者。这种增强的理解使安全专业人员能够充分提供有效的决策支持,以便业务主管能够及时做出决策。成熟的企业网络防御和威胁情报团队正在归档有关特定威胁的数据,并在程序上应用丰富性、分析和上下文,他们将有机会在2011年8月的gmailbox[.]com周围提出缓解方案(该方案早于Mandiant APT1报告)。在ThreatConnect中积极跟踪gmailbox[.]com子域的威胁情报小组也会将3月11日的DNS解析结果确定为184.82.120[.]136,从而实现后续的威胁发现过程。如果他们根据这些信息采取行动,他们将有能力减轻与受害企业的任何指挥与控制活动。现实情况是,攻击者不一定要创建新的基础设施来促进新的目标定位活动,因此,当使用威胁情报来防止任何"高级"或其他威胁时,数据保留至关重要。如果您或您的企业希望利用ThreatConnect来聚合、分析和处理威胁情报,请查看各种ThreatConnect产品版本和部署选项。现在注册一个免费的基本帐户。