来自 网络 2021-05-03 02:01 的文章

海外高防_游戏盾ddos成本_如何防

海外高防_游戏盾ddos成本_如何防

Upatre木马下载程序的演变背景Upatre是一个特洛伊木马下载程序家族,一旦安装,负责窃取信息和下载额外的恶意软件到受害者的机器上。它通常通过来自Cutwail僵尸网络的垃圾邮件来到达,要么作为附件,服务器硬件防火墙,要么通过指向远程托管站点的URL。我们也看到了开发工具被用作野生Upatre感染的载体。  网络犯罪网络 成功感染后,阿里云有没有免费的ddos防御,Upatre负责从已知的恶意软件家族下载恶意有效负载,例如:宙斯(Zbot)银行特洛伊木马程序Rovnix卷引导记录(VBR)引导工具包Dyreza(DYRE)银行特洛伊木马程序Upatre恶意软件家族于2013年8月首次被发现,到2013年10月,其感染率呈指数级增长。2013年10月,随着流行的黑洞漏洞工具包(Blackhole Exploit Kit)的消亡,许多恶意软件作者借助传统的垃圾邮件和Upatre特洛伊木马下载器作为传递最终有效载荷的媒介,这也导致了感染的增加。在过去的一年里,Upatre恶意软件的作者已经部署了多种新技术,这就是为什么它是当今最流行的恶意软件家族之一的原因。我们跟踪的一些功能包括:密码保护的附件-这使电子邮件看起来更加合法和机密垃圾邮件作为附件内的附件发送-垃圾邮件包含另一封电子邮件(*.msg,*.eml)作为附件,其中包含实际的Upatre存档附件包含指向实际有效负载的URL的电子邮件随机头字节和加密恶意软件下载以逃避检测命令与控制(C2)通信和后续恶意软件下载使用SSL加密最近的攻击在过去的一个月里,我们在下载器中看到的包含虚假邮件的垃圾邮件数量在增加。从这些最近的Upatre感染下载的最终有效负载往往是Dyreza Banking特洛伊木马。下面是来自此活动的电子邮件示例:   导致升级的垃圾邮件如果用户单击电子邮件中的链接,他们将被重定向到同一个站点,网站怎么防御cc,在提供有效负载之前,他们将使用标识URI中的操作系统的附加信息,如下所示:   获取/单据/发票__pdf.php?h=[3位数整数]&w=[4位数整数]&ua=[用户代理字符串]&e=1 HTTP/1.1然后将提示用户下载压缩存档文件,该文件包含Upatre特洛伊木马下载程序的新变体,如下所示:   在存档中升级下载用户被重定向到合法站点(即),ddos防御会影响网速吗,如果操作系统不受支持或在下载周期结束时被重定向。 一旦用户打开封闭的可执行文件,感染周期就开始了。它将自身复制为"%Temp%\pvavq.exe文件"并运行它。新启动的流程"pvavq.exe文件,将删除原始可执行文件"invoice10-11-14"_pdf.exe文件". 它通过TCP端口40007连接到远程C2服务器,报告感染情况并提供有关垃圾邮件二进制文件的月份和年份、受害者计算机名称、操作系统信息等信息。 Upatre网络通信 它进一步将Dyreza banking特洛伊木马以加密形式下载到受害者计算机上,作为"%Temp%\utt214.tmp",以逃避网络检测。然后它将下载的负载解密为"%Temp%\EXE1.exe"并执行它。这将启动Dyreza banking特洛伊木马程序感染周期。 Dyreza banking特洛伊木马程序加密和解密的有效负载 这个变体在解密例程中使用一个递增的4字节异或密钥,而不是我们以前见过的硬编码密钥。 下载了部分解密程序的有效负载 以下屏幕截图显示了我们在Upatre二进制分析过程中找到的自定义用户代理字符串和硬编码的远程服务器位置: 解压缩的Upatre二进制文件妥协指标下面是一个HTTP请求的示例列表,可以很好地指示您的网络上是否存在Upatre和Dyreza漏洞: 妥协指标此外,cc防御策略,我们还看到以下三个硬编码的用户代理字符串用于我们分析的Upatre变体中的HTTP请求:无更新仅更新更新结论Upatre特洛伊木马下载程序家族继续发展,是目前最流行的恶意软件家族之一。它继续增加新的恶意软件到其网络犯罪按次付费的nexus,充当下载和安装额外恶意软件家族有效负载的载体。Zscaler ThreatLabZ正在积极监控这一威胁,并确保为我们的客户提供全面的安全保障。 Zscaler_媒体_中心2_博客_发布_1-R1