来自 应用 2022-05-12 09:00 的文章

抗ddos_高防浪琴表价格图片_方法

抗ddos_高防浪琴表价格图片_方法

格式错误的FileZilla FTP客户端,带有登录窃取程序

注意格式错误的FileZilla FTP客户端版本3.7.3和3.5.3。我们注意到这些著名开源FTP客户端的恶意软件版本越来越多。

最初的可疑迹象是伪造的下载URL。如您所见,快速防御ddos攻击服务器,安装程序大多托管在带有虚假内容的黑客网站上(例如,低成本ddos防御海外高防,文本和用户评论由图像表示)。

恶意软件安装程序GUI与官方版本几乎相同。唯一的细微差别是NullSoft安装程序的版本,其中恶意软件使用2.46.3-Unicode,而官方安装程序使用v2.45-Unicode。所有其他元素,如文本、按钮、图标和图像都是相同的。

安装的恶意软件FTP客户端看起来像官方版本,功能齐全!您在系统注册表中找不到任何可疑行为、条目、通信或应用程序GUI中的更改。

第一眼看到的唯一区别是filezilla.exe的文件大小较小(~6,8 MB),2个dll库ibgcc_s_dw2-1.dll和libstdc++-6.dll(未包含在正式版本中)以及"关于FileZilla"窗口中的信息表明使用了较旧的SQLite/GnuTLS版本。任何更新应用程序的尝试都会失败,这很可能是防止覆盖恶意软件二进制文件的保护措施。

经过深入分析,阿里ddos攻击防御,我们发现了一个硬编码的连接细节窃取者。恶意软件作者滥用开放源代码,下列哪些方法防御ddos,并在主代码中添加他们自己的窃取功能。

该算法是格式错误的FileZilla.exe二进制文件的一部分,因此会绕过防火墙发送窃取的登录详细信息。整个行动非常迅速和安静。登录详细信息仅从正在进行的FTP连接发送给攻击者一次。恶意软件不会搜索书签或发送任何其他文件或保存的连接。

当FTP客户端(v3.7.3)发送登录信息时,这里有一个通信:

被盗的登录信息被转换为准备好的格式"ftp://username:password@ftp.domain.com:端口"然后通过自定义base64算法编码并发送到攻击者的服务器。

硬编码URL:

准备好的登录信息并编码到自定义base64算法:

最后通过WS2_32发送给攻击者。发送API:

自定义用户代理:

被盗数据发送到属于德国托管服务器的IP 144.76.120.243。

我们发现3个链接到同一IP的域名:

不幸的是,域名是通过臭名昭著的俄罗斯域名注册商Naunet.ru注册的,这与恶意软件和垃圾邮件活动有关。此注册器隐藏客户端联系信息并忽略挂起非法域的请求。更多信息请点击此处、此处和此处。

Naunet的客户是谁:

在本例中,恶意软件作者使用非常强大且不显眼的方法窃取FTP登录凭据。正如您所见,恶意软件版本3.5.3于2012年9月编译,防御ddos攻击的防火墙,现在几乎没有被检测到。

对于能够长期使用格式错误的FileZilla的普通用户来说,没有任何可疑活动是最大的危险。

我们假设被盗的FTP帐户被进一步滥用,用于上传和传播恶意软件。攻击者还可以下载包含数据库登录、支付系统、客户私人信息等的整个网页源代码。

通过受感染的FTP客户端连接到您的家庭或公司网络是这种威胁的另一个级别。

如何保护自己

我们强烈建议仅从官方网站下载任何软件,众所周知的或可信的消息来源。避免通过自己的下载程序或安装程序(包含捆绑广告软件和PUP应用程序)提供软件的外观奇怪的网站和门户网站。

恶意安装程序3.5.3:SHA256:595D954C7CE574337C97A0801E779BC3DCA94FC92AFAE8F483DCDD1A053C5C24

恶意文件zilla.exe v3.5.3

CDC1435ED747474747ED61256安装程序SHA256:B9A12F9B6827144D84E65EF2BA454D77CB423C5E136F44BC8D3163D93B97F11F

恶意文件Zilla.exe v3.7.3SHA256:2451599C03B136C1848F538184F0F266973B65AFC8DD25F272A7E6B0555B657A