来自 应用 2021-06-09 12:09 的文章

防ddos攻击_防御ddos服务器_免费测试

防ddos攻击_防御ddos服务器_免费测试

被称为URLZone的恶意软件困扰了安全专业人士近10年,现在它又回来参加2018年的encore演出。这种恶意软件在2009年首次被检测为银行木马,在最近的几次威胁活动中再次出现。URLZone强调了今天有多少基本的恶意软件感染策略和十年前一样有效。URLZone的受害者首先被钓鱼,然后被引诱打开一个被感染的附件,该附件下载恶意软件的有效载荷。这一特定的木马利用了各种恶意行为,从进程空心化到最近一系列针对日本公司的攻击中下载其他恶意软件。URLZone分析URLZone在其首次出现近10年后,仍然是对基础设施的持续威胁。它长期的成功记录使它成为威胁参与者中最受欢迎的恶意代码。Cylance在2018年2月至4月期间观察到涉及此恶意软件的活跃分发活动。这些乌尔区袭击绝大多数是针对日本的。我们分析了2月至4月发现的URLZone样品,如表1所示:日期SHA2562018年2月6722651E7C144658933C7EA6D1011D2662CDA29CF03A3737CABD4B4ED54710D79051CFE2B37DDC439C18BC0C1856958DD026A7A6DD0A24DE42D2D91DBFDA22C47F23E26E7258DAF6F4669F0183187C343520867E64F1FA9521BED38A9D612018年3月192DB4F6BCA16A78C0C7544A3653A597 C4CE05F8B8773F2553414C42BDAA5103870D02ACC6E280B035822949DC6CC3B576CBC487497D0F358C3E05D969A23A6FD04B0C6EA295F5617F83896B8CE243909A77A9DA4E876C0F8EE414BDEFC30881B599357FB4CEC8B477696C6B34645F36B48BC457DC7CE5E7978DA3C3BF102018年4月81A9BEB4209250FE7169805E60AD1915BDAAF45926D0D82E820B36E0515F6831A041C5E65A7630165BE927D2BA92BC5A42567D7EE649E4A0C767D78254B29F795B8F7277E3965872577AEBFC4D1A0A5738E6C814CBEB9EF85B495B36DABAE8表1:本次活动中检测到的10个URLZone样本下面的图1显示了日本和非日本地区之间每天发现URLZone的公司数量。我们观察到3月15日有8家受害公司出现了激增。如您所见,URLZone主要在这一时期攻击日本公司:图1:2018年2月至4月,日本(JP)和非JP URLZone检测URLZone依赖网络钓鱼电子邮件和受感染的附件来危害系统。它使用损坏的MS Office文档中的宏代码下载并执行恶意可执行文件,有效防御ddos的八规则,如图2和图3所示:图2:编码的宏代码图3:除臭宏代码包括PowerShell脚本启动后,ddos防御网,URLZone将运行以下检查以收集系统信息并确定它是否处于沙盒环境中:CPU信息检查沙波检测视频生物转换检查针对VMWare的注册表项检查测试目录(或文件名)检查IsDebugger当前检查这些文件还包含了一些旨在迷惑研究人员的欺骗手段,高防cdn_504错误什么意思,例如在文件属性中使用合法的公司名称:图4:URLZone试图牵连DropBox实际上,10个示例中有8个可执行文件显示了真实的公司名称,如Dropbox。表2总结了所有分析样本的特征:SHA256公司名称A041…升降箱192D年…CDex项目0387…幸运猴设计有限责任公司6FD0…文字管理器0881…缩放通讯6722…碳37905…森林47F2…齐塔互动表2:每个URLZone示例欺骗的公司名称和字符串技术分析图5显示了URLZone的行为。一旦目标打开带有恶意宏代码的Microsoft Office文档,该宏将通过PowerShell脚本下载并执行URLZone。它在同一进程上运行主负载。然后它就产生了"资源管理器"或"iexplorer.exe"用于工艺空心化。之后,它连接到指挥和控制(C2)服务器下载其他恶意软件。在4月份的一次活动中,阿里云有没有免费的ddos防御,URLZone下载并执行了cutwall和Ursnif特洛伊木马:图5:URLZone攻击周期,2018年4月战役工艺空心化URLZone使用进程空心技术将恶意代码注入合法进程。如果检测到自己在分析环境中运行,则执行强制退出。然后,它就产生了资源管理器"或"iexplorer.exe"并向进程中注入外壳代码。1.它调用OpenFileMappingA以获取进程的共享部分的句柄。2.它调用MapViewOfFile来将主负载映射到空进程中。3.调用带有PAGE_EXECUTE_READWRITE的VirtualAlloc,向内存授予可执行权限。然后它将URLZone负载复制到内存块中。现在,它已经准备好在空进程上进行恶意活动,并跳转到URLZone的新入口点并运行进程"资源管理器"或"进程名"在图6所示的示例中,它跳转到EAX=0x00489080指定的地址:图6:在指令之后,URLZone显示其恶意行为其他安全研究人员已经披露了URLZone负载的详细行为[1,2,3]。其他威胁URLZone特洛伊木马程序试图从C2服务器中提取URL并从URL下载其他恶意软件。在四月的活动中,我们观察到以下两个恶意软件家族从网址:hXXp://www[.]kentaur[.]cz/soubory/animace/malware_文件名[.]exe。远程网址已经活跃了一个月了。墙板(2A30D7B76E3DCC10861526F83FB060A12485A974626BEA8872CF2A012E25333A)Ursnif(460B518DA8BFB1305D49CF1C8991561CB5461911D407ECB800A538AEB0B333F6)此前发布的一个技术博客[4]提到,URLZone至少从2016年年中就下载了Ursnif和cutwall。我们已经证实这一特征仍在继续。赛伦斯停在乌尔区CylancePROTECT®的客户在最近的活动中不受URLZone所有变体的影响。我们的人工智能/机器学习驱动的安全解决方案经过独特训练,能够识别威胁代理的战术、技术和程序(TTP)。我们的高级模型可以预测并防止像URLZone这样的恶意软件在基础设施上站稳脚跟。柱面光学™ 用户可以编写规则专门针对和防止URLZone使用的进程空心化技术,如图7所示:图7:CylanceOPTICS和自定义规则阻止的URLZone规则可以防止恶意行为,包括在本地保存恶意软件文件、启动脚本或生成资源管理器.exe或者iexplore.exe过程结论这个技术博客探讨了最近针对日本公司的URLZone活动。在四月的竞选活动中,URLZone下载了cutwall(小马或Pushdo)和Ursnif(Gozi)。虽然我们不知道这场运动的全部背景,但这三种威胁显然是相关联的,而Cutwail机器人可能是一种基础设施,ddos攻击原理和防御书,在提供URLZone方面发挥着重要作用。符合受害者档案的组织应为员工和其他能够访问关键操作系统的人员提供网络钓鱼/捕鲸意识教育。这将有助于降低员工无意中下载恶意软件的风险。如果您的员工接受过不打开未知附件的培训,URLZone将无法在您的环境中站稳脚跟。妥协指标(IOC)•带有恶意宏的MS Excel文件下载URLZone o 5BEDB91485726A2B383FECD14B21F6E4BFA7D14ADCB18B1B753B6510C69BD1 o 7877785242AD6777C98AF76EBED8522E04FAD40489C0CA667398B02D54C69D2A o F79B658F57AE5D561C419A4 EF6D71B809E97BFD8876CA26D9B2E40233907FF o8B93EB0C32299ACEBE65E6014ACCDC02F289E3A4BF411783E8BFCD01E887174 o 2D8520840D7577A21BDF2789CC836432E4AFA11F6172949A8BD26B703ADFA至140D47BB29C91672318E78B14D50B0710C200BEE8F7CFFB2BB0D672DD01E44O F29FA4665C7D226D093D083A72431237B76C9DBB10BF531C3EAA56090ECF277•URLZone可执行文件o 81a9beb42209209250fe716980805e60ad1915bdaafaf45926ddd82d82e820b36b36e0151f6831 o a04cc5e65e65a7301656be927d224ba92b92bc5a42567d7ee649e4aaa0776d78d782524b29f7 o 192db4f6bbbbbbcae16a78c7344a3535a597c44a3535a597c4c05fb87b8773f73f2731c24c24c24c24c2bdaa511]o 03870dd0 d2ac6c6d80d80d80d80d80d23c80d73bo47F23E26E7258DAF6F4669F0183187C343520867E64F1FA9521BED 38A9D61 o 79051CFE2B37DDC439C18BC01856958DD026A7A6DD0A24DE42D2D91DBFDA22C o 6FD04B0C6EA295F5617F83896B8CE243909A77A9DA4E876C0F8E614BDEFC3 o 0881B5937FB4CB477696C6B34645F36B48BC45DC7CE5E7978DA3C3BF10 o6722651E7C144658933C7EA6D1011D2662CDA29CF03A3737CABD4B4ED54710D•Cutwail可执行文件o 2a30d7b76e3dcc10861526f83fb060a2485a974626bea8872cf2a012e25333a•Ursnif可执行文件o 460b518da8bfb1305d49cf1c8991561cb5461911d407ecb800a538aeb0b33f6•URL托管的URLZone可执行文件ohXXp://diverdonis[.]com/xambu o公司hXXp://vafersoma[.]com/sam32 o公司网址:hXXp://ralepirano[.]com/风扇转速ohXXp://nometana公司[.]com/trms o公司hXXp://holdoc[.]通讯/按o[.]通讯/mxdn ohXXp://bobindrama[.]通讯/希望ohXXp://holdoc[.]com/lantrace公司•用于URLZone o colobinar[.]com/150[.]109[.]49[.]214(中国)o rebinodar[.]com/49[.]51[.]133[.]156(中国)o donobiran[.]com/49[.]51[.]13[.]189(中国)或35[.]188[.]197[.]118(美国)o velis[.]92[.]53[.]77[.]102(俄罗斯联邦)•可执行文件的URL网址:hXXp://www[.]kentaur[.]cz/soubory/animace/htrprt[.]exe•Ursnif execut的URL