来自 应用 2021-06-08 06:10 的文章

国内高防cdn_宝可梦剑盾游戏下载_快速接入

国内高防cdn_宝可梦剑盾游戏下载_快速接入

小结:如今的攻击者能够很好地适应他们的目标,因此他们成功地集成了各种可信任的企业服务,这些服务在当今的企业界中被广泛使用,成为他们攻击多个阶段的关键基础设施。这些攻击者只是重新利用看似良性的服务配置文件基础设施(SPI)来确保其攻击操作的额外生存能力,同时知道大多数企业无法检查高流量的web流量,或无法减少对此类服务的流量。这些发现之所以如此重要的原因在于代表持续性威胁的流动性。例如,有人观察到一个中国威胁集团发布了一个恶意文档,其中包含一个与WordPress交互的自定义后门,5gddos防御,然后通过Dropbox发送。这样做,攻击者不必破坏"易于缓解"的中点基础设施,这种基础设施以前在传统的目标攻击中已经出现;例如SMTP中继服务器或web服务器。威胁概况:最近几个月,我们发现了许多有针对性的恶意软件活动,这些活动清楚地表明,在攻击的目标、指挥和控制(C2)和数据过滤阶段,复杂的威胁集团仍在使用基于云的平台来攻击他们的受害者。这一事件进一步证明,评论小组(又名APT1)并不是中国唯一一个高级持续威胁(APT)组织,使用网络内容作为C2技术与受害者的主机进行交互,这是一些威胁分析人士经常误解的技术。下面,我们将重点介绍这些特别复杂的威胁参与者如何在其目标和C2中实现基于云的可信服务攻击阶段。基于此特定威胁的威胁情报ThreatConnect.com网站,这很可能是同一个中国APT威胁集团的一部分,该集团在2012年秋季对《纽约时报》进行了数月的妥协。操作警告:我们联系了受影响的服务提供商,通知他们恶意SPI正在被滥用以促进有针对性的攻击。我们还分享了与特定威胁组及其活动相关的详细信息和背景。第一阶段:通过Dropbox定位此前被认定对《纽约时报》泄密事件负责的中国APT集团,也经常被观察到使用合法的Dropbox文件共享通知功能,向其目标发送Dropbox云中恶意二进制文件的链接。攻击者只需注册一个免费的Dropbox帐户,上传恶意内容,然后与目标用户公开分享。对手优势:通过实施SPI,攻击者可以在其操作的各个阶段建立并保持以下优势:攻击者可以很容易地匿名化他们自己和他们的订户帐户。攻击者可以将自己隐藏在值得信任的Dropbox品牌后面,从而提高可信度,并增加受害者与来自个人或企业Dropbox用户的恶意文件进行交互的可能性。攻击者可以通过使用可信的Dropbox电子邮件基础设施向恶意内容发送目标URL,从而轻松锁定受害者,而不是使用SMTP中继等传统方法。攻击者可以传递可以逃避传统检测和缓解方法的恶意内容。在一个例子中,攻击者使用以下链接对受害者进行鱼叉攻击:网址:hxxps://dl.dropbox[.]com/s/zhct1i3le8tsubh/US-ASEAN%20商业%20关系%20政策%20纸张.zip?dl=1这份文件似乎是一份东南亚国家联盟(ASEAN)的政策文件。东盟是一个国际性的、非政府的、地缘政治和经济联盟,代表着10个东南亚国家的利益。这表明受援国很可能与东盟有利害关系,或与东盟有联系,很可能是地区成员国的个人或代表,以及许多相关的地区成员国,将对中国具有战略外交、经济或军事利益。恶意软件概述:在对恶意文件进行深入检查后,我们发现,该文件实际上是一种Word文档格式,其中包含一个名为"2013年美国-东盟商业理事会美国-东盟商业关系政策优先事项声明"的恶意二进制文件纸张.scr"《世界文件》摘自亚太经合组织(APEC)的一份组织文件可以在这里找到。最初的文件是一份2012年亚太经合组织贸易部长年度报告。这个二进制文件被antivirus检测到,它是一种被称为"Yayih"的APT植入物。"Yayih"植入物已经被中国APT使用了几年,并且在2012年3月的一篇传染垃圾贴文中提到的CVE-2012-0754 flash zero-day漏洞被发现。提取时,ddos是否能防御,二进制文件使用adobepdf图标来模拟合法的PDF文档,然后在执行时丢弃一个良性的诱饵PDF。有趣的是,诱饵文件的名称是"美国-东盟商业理事会内部草案",其中包含了参考一系列美国-东盟经济和贸易政策优先事项的谈话要点草案。如果该文件确实是一份包含讨论要点草案的内部文件,只有在攻击者之前威胁到东盟内部的实体或美国-东盟商业理事会的附属机构时,它才可能被攻击者使用。这突出表明,复杂的威胁通常会利用从以前或正在进行的入侵中收集的被盗数据,来进行后续的目标锁定活动。丢弃诱饵PDF后,二进制文件将自身复制到%TEMP%msinfo.exe并创建一个配置文件"奥姆利布.ini"在本地设置应用程序数据文件夹中。该二进制文件还创建了一个唯一的互斥体"trade1"。互斥体中对"trade"的引用可能用作目标活动代码标识符,这符合东盟宪章,为攻击者可能的意图和操作目标提供了额外证据。第二阶段:WordPressWebC2解释一旦一个受害者成功地被植入"Yayih"的目标,这个恶意软件就联系了一个WordPress博客。然后,它将从博客文章中读取攻击者分段的内容,以获取第二阶段C2主机的辅助域、IP地址和端口号。在本例中格雷塞德.wordpress[com],我们发现了多个博客帖子,这些帖子都可能是特定目标战役的内容,同样的C2配置是"隐藏在显而易见的地方"。然而,攻击者完全有可能在之前的任何时候修改第二阶段C2配置。最早的帖子是在2012年7月31日发布的,表明这个博客已经作为第一阶段的互动点使用了将近一年。许多包含C2配置的博客文章都与地缘政治事件相关,可能是潜在目标感兴趣的。Web C2示例:C2设置位于呈现的HTML页面上的纯文本中,ddos云防御价格表,每侧由六个格式化字符包围,使用"@"作为c2ip地址或主机名的分隔符,"#"作为C2端口的分隔符。这些已识别的Web C2配置指示二进制文件通过TCP/443连接回IP地址202.2.104[.]188(富纳富提,图瓦卢)。它们还包含一个配置设置,使用整数值"1",ddos360防御,由六个"$"字符包围,其目的可能是启用或禁用某些恶意软件功能的内部设置。结论:企业安全团队越来越重视复杂的威胁,这促使威胁集团采用非常规的目标定位和利用技术,而不是传统上所观察到的方法,即集成和使用从受信任方借来的基础设施来进行恶意攻击活动。这又是一个例子,说明了复杂的威胁如何成功地利用可信SPI来促进其攻击操作的初始目标定位和C2阶段。很少有企业网络防御团队有足够的资源或能力来检测目标攻击和使用可信SPI链的后续C2 web会话技术。不幸的是,仅凭主机和基于网络的安全解决方案并不完全足以阻止或检测这种性质的威胁。检测和缓解需要对对手、他们如何运作、他们使用的基础设施、他们拥有的能力以及如何应用于对手有一个共同的观点和理解目标个人、行业或部门。有关这一威胁的细节已经与ThreatConnect.com网站"20130513A:ASEAN Yayih特洛伊木马"事件中的社区。如果您或您的组织有兴趣获取众包威胁情报,以提高您对复杂威胁的认识,请登录ThreatConnect.com网站加入我们的社区。

,ddos怎么知道自己防御了多少钱