来自 网络 2021-05-03 01:14 的文章

免备案高防cdn_cdn攻击防御_精准

免备案高防cdn_cdn攻击防御_精准

正在进行的活动和钓鱼者诈骗工具在我们最近的一篇关于CVE-2015-0311的文章中,域生成算法(DGA)中使用的两个命令和控制(C&C)域映射回同一个服务器IP地址-46.105.251.1。他们也使用相同的名称服务器来解析:ns1。regway.com网站ns2。regway.com网站我们仔细研究了使用这些名称服务器的域,发现在这个活动中使用的C&C服务器与其他可能不相关的活动之间存在明显的相关性。在过去的一个月里,我们跟踪了70多个涉及恶意软件C&C或其他恶意活动的领域,包括点击欺诈和勒索软件活动。这些域通过"域上下文"注册并使用Regway.com网站"用于解析的名称服务器。回顾一下,我们看到最初的二进制文件是通过CVE-2015-0311漏洞攻击执行的,然后试图解析通过DGA生成的多个域:下面是当时解析的两个域的部分whois信息:仔细观察这些域,我们注意到它们共享一些共同点,防火墙ddos防御设置,特别是它们的名称服务器和IP:C2域比较域IP观察方法注册器创建日期联系名称服务器gaabbezrezrhe1k.com 46.105.251.1 POST/domaincontext 2015-01-19联系人@privacyprotect.orgns1。regway.com网站, ns2。regway.com网站wzrdirqvrh07.com 46.105.251.1 POST/domaincontext 2015-01-21 yingw90@雅虎ns1。regway.com网站,ns2。regway.com网站通过"域上下文"查看当时注册的其他域yingw90@yahoo.com"而且还利用"regway.com网站"为了解决问题,我们发现以下39域名:aslfnsdifhsfdsa.comavzzxpjvrndi6g.combnxjgqotkqftj.cocavnplxlwjzld.codtnnvleididsncuz7i.com ggrdyqqqdbpkkkjf0 e.com gqqzrDawmmvaalpevd0.com grqqqqveprd8f.Comjacaffugdnvoov.cojdiormutrealo.com jxuuxxxxuzdlzdlw1.com jzkzkkzkzkzkzkTddde.cokdioqw873-kioas.com.com Kosnotroro32.com.com.com.com.com.com.ciki2s.commcoihsopejaue.commlhxqydhcjqvei.comnertafopadertam.comnoieutrabchpowewa.comnwlxjqxstxclggbw7.comnyrtazolas.compiragikolos.compndrdbgijushci公司.comqhmbdzygdevxk0m.comqvllupuqjknz5。comroppsanaukpovtrwl.comrwermezqpnf4.comtuchrtwsabl7b。COMUOWCWVKNKRTIPJ.comvsdylqjfrdqaxzyd.comvucjunrhckgaiyae.comvxmsrlsanrcylyb7o.comvxuiweipowe92j.comxgihfqovzurg8.comxmoqu38hasdf0opw.comxqirefjyjkcn7u公司.Comyoksffhvizk8公司z。comyyfaimjmocdu.comzmbkfrdpnaec.com查看通过"域上下文"注册的域的同一时间段,使用"隐私保护",并使用regway.com网站"为了解决这个问题,我们发现了另外32个域,这似乎也符合DGA:394iopwekmcopw.comagdopribili.comasp83UYteramxop.Comalamodaevi.cocawnqrvbmfffysdb.coddertraefple.cogpsnypbnygqidxj.cogurggustusinoi.cogypqlkwgkmzapx33.ComLudYamDosTatesya.Comiqjlyjxplippbbppuh.comistinuskazat.ComIdLwwonkhjrxzuh.cojdDbxxRsjgqlsr.cojyjjjgqlkjyjjjgqljyjjgkkkkkkkkkkkkkkkkkkkkk.commuzhikgusei.comnabarishispeshil.comneochenvezhlivo.compredlinnohvorostinoi.综合预算.comtamgusyam.comtuzlynlyvrbrdhrpx.comvpsbxfdyphdykmlct.comxnanomailing.comymuzhikainevenu.comytpligapddu5.comzhcjrjolbeuiylkyzx.comzoidpyjhij36.com这些域名中的绝大多数都是解析到Bedep的C&C服务器上的。以下是一个受Bedep感染的系统向C&C服务器发出的POST请求,该系统包含base64编码的数据:然而,如何搭建高防cdn,一些域正被用于其他看似无关的恶意活动中。例如域'xmoqu38hasdf0opw.com网站"被卡芬认定为是一个勒弗顿赎金页面的宿主,ddos攻击防御设备,其他域名被用来通过点击欺诈来赚钱Bedep感染包括:394iopwekmcopw.com/ads.php394iopwekmcopw.com/r.php?键=41c7eed67784325bb935f2b6543ff37dasop83uyteramxop.com/ads.php?sid=1910asop83uyteramxop.com/r.php?键=c8a0293dce08d582ca645449d849543dkosnotreamouyer.com/ads.php?席德=1905koslnotreamouyer.com/r.php?key=666fe962677224b1799919a70c7c2c9e和以下域是托管加密的中间域文件:kosnetyanetolko.com/slwsbpetw.eqmhkdioqw873-kioas.com/asdfsfsf1.phpnertafapadertam.com/2/showthread.phpnyratazolas.com/1/search.phppiragikolos.com/asdfsfsf1.php不幸的是,在不同的ASN上有几种不同的IP:C2 IP信息IP Netblock ASN 46.105.251.1 46.105.0.0/16 OVH ISPOVH_OVH静态IP AS16276 5.135.16.201 5.135.0.0/16AS16276FR-OVH-20120706 OVH SAS AS16276 94.23.204.16 94.23.0.0/16 OVH ISPOVH OVH SAS专用服务器AS16276 5.196.196.149 5.196.196.0/22AS197890FR-OVH-20120823 OVH SASAS16276 46.105.251.0 46.105.0.0/16 OVH ISPOVH_OVH静态IP AS16276 37.187.76.177 37.187.0.0/16 OVH OVH SAS专用服务器AS16276 206.222.13.164 206.222.0.0/19 RR-RC-Enet-ColumbusEE3-DOM AS10297 23.105.135.219 23.105.128.0/1923.104.0.0/13路由,LLCNETBLK-NOBIS-TECHNOLOGY-GROUP-18 AS15003 23.105.135.218 23.105.128.0/1923.104.0.0/13诺比斯技术集团的路线,LLCNETBLK-NOBIS-TECHNOLOGY-GROUP-18 AS15003 151.80.95.8 151.80.0.0/16151.80.0.0/17 OVHIUNET-BNET80 OVH SAS AS1267 80.82.70.104 80.82.70.0/24 AS29073 Route objectNL-ECATEL-20100816 ECATEL LTD AS29073 79.143.82.203 79.143.80.0/22Redstation Limited托管AS35662 79.143.80.42的专用服务器79.143.80.0/2279.143.80.0/24代理注册路由对象RSDEDI IBOBAPEP托管AS35662 217.23.12.145 217.23.0.0/20WORLDSTREAM-BLK-217-23-0-0WORLDSTREAM WorldStream IPv4.19 AS49981 173.224.126.29 173.224.112.0/20托管解决方案国际HSI-3 AS30083 173.224.126.19173.224.112.0/20Hosting Solutions InternationalHSI-3 AS30083 50.30.36.1 50.30.32.0/20Hosting Solutions InternationalHSI-4 AS30083 209.239.115.228 209.239.112.0/20209.239.115.0/24Proxy-registered routeHSI-2 AS30083结论攻击者继续远离单个IP和小IP池,免费ddos云防御,倾向于跨多个netblock分布基础结构。这确保了他们的基础设施对拦截和攻击企图更具弹性,从而使攻击者能够继续从受损设备中获利。同样,如果发现信誉不佳的注册商或命名服务器,特定的参与者将继续利用它们,直到缓解措施到位Zscaler_媒体_中心2_博客_发布_1-R1

,抗ddos防御