来自 应用 2021-06-08 22:00 的文章

ddos怎么防_防cc攻击cdn_如何解决

ddos怎么防_防cc攻击cdn_如何解决

Gootkit是一种复杂的银行特洛伊木马,可以执行各种恶意活动,如:网络注入、截屏、视频录制、电子邮件解析等。Gootkit在2014年夏天出现,但仍很活跃,使其成为金融机构的一个可行的威胁。黑莓最近在2019年2月、3月和4月通过AZORult infostealer恶意软件观察到Gootkit活动。我们的监控显示,威胁行为人经常更改Gootkit托管域名,并几乎每天都创建Gootkit变种。它的核心模块包含几个JavaScript文件和节点.js因此,其文件大小往往很大。事实上,我们分析的样本超过6MB。这个技术博客涵盖了Gootkit/AZOrult活动的信息,并展示了我们最新分析的结果。虽然我们发现了几十个Gootkit样品,d-link的ddos防御,但我们关注的是最新的样品(a3c243afceb1fb38f25ae81816891d7d7c11ae76e80a43f31d2ceb9833f2f3df)。这个变种旨在窃取五家法国银行用户的登录帐户。技术分析古特基特经阿苏鲁尔特在之前的AZORult博客中,BlackBerry检查了恶意软件用于与指挥控制(C2)服务器通信的协议。我们实现了一个定制的扫描器来监视C2服务器并下载和解析配置设置。扫描仪通过AZORult捕捉到一些Gootkit活动,这些活动发生在以下日期:12019年2月9日-2019年2月11日,2。2019年2月15日至2019年3月7日。三。2019年3月12日至2019年3月13日。42019年3月31日至2019年4月1日。威胁参与者几乎每天都会生成Gootkit变种,并使用各种托管域名的恶意软件。有关活动信息的更多详细信息,请参见表1和表2:SHA256(Gootkit)Gootkit传递URL日期879b1f79cbd105ff52ac9a0b01cee4be F921DF59E72FB7F51DB48430CA9A85hxxp://hairpd[.]com/stat/sputik[.]exe2019年2月9日1d62fec40f14dd0458556f0211529df88 d19fe0249d195d6153388610c5525dfhxxp://camdunki[.]com/gx/Aleto[.]执行程序2019年2月11日b9440e407b971def1d8a3d19c2da0e81 145aad4b29e51602fc11f566e9854537hxxp://camdunki[.]com/gx/wipip[.]exe2019年2月15日d01defb4fe8db26ea0151afa1c4e817db 1aba1c8464127110f7ef860164ed79ahxxp://chermin[.]调整DSL[.]nl/loges/tlss[.]exe2019年2月16日6b19c0ec581ca24ef2a35d37af523ab2a f19740585ad653d98593a057268e01chxxp://chermin[.]调整DSL[.]nl/loges/tlss[.]exe2019年2月17日-2019年2月18日2a1dd210ed71e33e58aadd9157eebb35 ad38eb70cb182d244a8f9879f195b930hxxp://chermin[.]调整DSL[.]nl/loges/tlss[.]exe2019年2月18日1b052c6d721f4dc36b3e58192ac6c664 d43aec8f15fcd2a8f91616f705192ebbhxxp://chermin[.]调整DSL[.]nl/loges/tlss[.]exe2019年2月19日6A9B222B7BE97ED608BCBE6DC05CFF9F b16ae9a31a08e719857cad6146dc8d7hxxp://chermin[.]调整DSL[.]nl/loges/tlss[.]exe2019年2月20日e67ec7af646f6b9bdfe59e3549f84bd30 71C72386DE57E9A5FE58982DBD49hxxp://chermin[.]调整DSL[.]nl/loges/tlss[.]exe2019年2月21日5eb54a536d9b560b79c7113efa5eebcb E21E9AED3F751D14A98B38C829A53B5hxxp://chermin[.]tweakdsl[.]nl/loges/zip[.]exe2019年2月22日上午6C2D6ABC2E130092F414D4F64ADEB2D ac56e8f802d4250c84db62a563bf99echxxp://chermin[.]tweakdsl[.]nl/loges/zip[.]exe2019年2月22日下午9f6881386d0ff9a0cd2bc49da21b999d1 3E4EBDC858BDA755EE26898C567A3Dhxxp://chermin[.]tweakdsl[.]nl/loges/zip[.]exe2019年2月23日ab54b89a75ee9d858b734e927ff16aef3 d5c8137552c9973864d7eed8aa5e472hxxp://chermin[.]tweakdsl[.]nl/loges/zip[.]exe2019年2月23日-2019年2月24日3974b0985d524dd38a9d040c9eaf880c 421411210e0bdd577ac2306f6471a413hxxp://chermin[.]调整DSL[.]nl/loges/remove[.]exe2019年2月24日-2019年2月25日81a2c4c708c13338ed7aac439aa876c5 E1D2116AFB23E7CF8A345A05EBD55 EEDhxxp://chermin[.]调整DSL[.]nl/loges/Atrip[.]exe2019年2月26日FB05723AC5960A5776D743242998D4A 48a3f7e74761046352c16712208bd983hxxp://chermin[.]tweakdsl[.]nl/loges/DlKitlMNdktild[.]exe2019年2月28日上午983b39b339bc62a09c20ea2f1b1360e1 7bf9431587e2a257ec4f3a62b4489ff4hxxp://chermin[.]tweakdsl[.]nl/loges/aHdBhBjUhBHm[.]exe2019年2月28日下午212EAF6CEC088473C2C3079DAB17EB 581DC2832BE3E023F62C751CD01169Fhxxp://chermin[.]调整DSL[.]nl/loges/Astart[.]exe2019年3月1日上午fcbe6c55b2b092b1d97aa2d8a9ac6f356 5B1047AE7D59B08552D0E2EE11D102hxxp://chermin[.]调整DSL[.]nl/loges/Astart[.]exe2019年3月1日下午729502b7b074e55f1e7d364ae3917043 76480a28081ca0d7eba4495fca3b1367hxxp://kbhookah[.]com/loggers/repost[.]exe2019年3月2日至2019年3月4日e70a9cfd7c9f1a23d00cdc5eba866ea6 c80a4a555498f8d0feba58a765b9aa39hxxp://kbhookah[.]com/loggers/repost[.]exe2019年3月5日d5ba0f1c01cf12f57cca93996d2f87191 c9420afbbd116d3757060d780338d29[.]terweij[.]nl/wp admin/repox[.]exe2019年3月6日5766bffa91f87cd08582fac05209c5d8d 9356ad88e15499038dc624c0ccbc468[.]terweij[.]nl/wp admin/repox[.]exe2019年3月7日c1ae38afb6c82b9107868d66318095f1 c00f1e92dddc0ee953c23a8de4ace353hxxp://新[.]eltrans53[.]ru/uploads/utf8[.]exe2019年3月12日至2019年3月13日表1:ssl[.]admin[.]itybuy[.]it(一个azorultc2服务器)的Gootkit活动SHA256(Gootkit)Gootkit传递URL日期a3c243afceb1fb38f25ae81816891d7d 7c11ae76e80a43f31d2ceb9833f2f3df网址:hxxp://ccleanerhome[.]com/fonts/igfpers[.]exe2019年3月31日至2019年4月1日表2:triangularty[.]com(AZORult C2服务器)的Gootkit活动加载程序和核心DLL模块Gootkit有两个模块:加载程序和核心DLL模块,如下面的图1所示。加载程序用于规避、持久化和下载核心DLL模块。一旦加载程序下载核心DLL模块,服务器防御ccddos,Gootkit就可以执行恶意操作,例如:Web注入密钥记录启动VNC服务器录制视频图1:Gootkit的两个模块:加载程序和核心DLL模块逃避Gootkit使用了许多规避技术,高防cdn目标客户,包括反虚拟机(virtual machine)、反调试和反沙盒。它执行以下规避活动:1.通过检测以下字符串,检查加载的与沙盒技术和调试相关的DLL文件:adbghelp.dll(Windows标准调试器的模块)bsbiedll.dll(软件Sandboxie的模块)2.通过检测以下字符串来检查用户名:a.CurrentUser b.Sandbox3.通过检测以下字符串来检查计算机名称。a.沙箱b.7SILVIA4.通过检测表3所示的字符串,检查与硬件BIOS信息相关的注册表项:注册表项注册表项数据HKLM\硬件\说明\系统系统生物转化急性心肌梗死博克斯凯姆SMCI公司英特尔–6040000FTNT-1型VBOX公司索尼HKLM\硬件\说明\系统视频生物转换虚拟机HKLM\Software\Microsoft\Windows\CurrentVersion系统生物转化55274-640-2673064-23950(此值与JoeSandbox关联)76487-644-3177037-23510(此值与CWSandbox关联)76487-337-8429955-22614(该值与Anubis相关)表3:注册表中的规避检查硬件系统BIOSversion检查代码如图2所示:图2:硬件系统biosversion检查规避此外,规避技术是反法证。表3中显示的有意义的字符串存储在临时堆内存中。在这个规避函数的末尾,防御ddos程序,使用RtlFreeHeap和HeapFree释放分配的堆内存(参见图3)。逃避的目的是使记忆取证更难进行:图3:使用RtlFreeHeap和HeapFree API删除有意义的字符串坚持不懈Gootkit使用挂起的GPO(参见图4)在重新启动后重新启动恶意软件。首先,服务器ddos防御怎么弄,它将一个.inf文件放在与特洛伊木马文件相同的目录下。INF文件的基本文件名与恶意软件文件相同。例如,如果Gootkit的文件名是"igfpers.exe文件",.inf文件名为"胰岛素样生长因子.inf":图4:Gootkit创建的.inf文件Gootkit然后在"HKCU\Software\Microsott\IEAK\GroupPolicy\PendingGPOs"下创建三个注册表值:"Count"、"Path1"和"Section1",如图5所示Path1"包含.inf文件的完整路径,"Section1"是指写在.inf文件中的节名("DefaultInstall"):图5:其持久性的注册表值核心DLL模块安装Gootkit加载程序使用"--vwxyz"选项启动自己。然后它从C2服务器下载一个编码的DLL模块并将其注入Gootkit进程中。没有适当的"UserAgent",C2服务器不会发送DLL模块。一旦它收到来自C2服务器的有效响应,Gootkit将编码的DLL模块分割成块。每个块大小最多为512000字节,保存在"HKCU\Software\AppData\Low\finget{index number}"(请参见图6)。重新启动后,Gootkit从注册表项加载数据,并将所有块连接到一个编码的DLL中。这将导致核心DLL模块变为无文件:图6:其持久性的注册表值DLL模块由"RTLDecompressBuffer"解密和解压缩。Gootkit然后是al