来自 网络 2021-05-03 02:09 的文章

高防IP_防cc攻击代码c#_怎么防

高防IP_防cc攻击代码c#_怎么防

看看新游戏中宙斯的变种背景宙斯,也称为Zbot,搭建高防cdn,是最臭名昭著和广泛传播的信息窃取银行特洛伊木马之一。它首次被发现是在2007年初,从那以后的几年里,它已经演变成一个非常复杂的恶意软件家族,具有以下特征:浏览器中的人击键记录抓取表格网注内核模式rootkit更新用于命令和控制通信的自定义对等(P2P)协议域名生成算法(DGA)移动宙斯,也称为移动中的宙斯(Zitmo)2014年6月,美国司法部发起了名为"Tovar行动"的国际执法行动,以控制Gameover宙斯P2P僵尸网络。这次行动成功地关闭了僵尸网络的活动和相关的密码锁感染循环。新的宙斯变型游戏上个月初(2014年7月),我们开始看到感染报告涉及一种新的Gameover宙斯变种。主要的感染媒介仍然是相同的,网络犯罪分子利用卡特威尔僵尸网络发送带有恶意附件的垃圾邮件。恶意附件在大多数情况下伪装成一个金融PDF文档,以引诱不知情的用户打开它。这是通过一个伪PDF图标和双文件扩展名的组合来实现的,因为除非用户禁用公共文件扩展名,否则Windows会隐藏这些文件扩展名。我们看到的一些示例文件名包括:发票.pdf.scrE-报表.pdf.scr安全文档.pdf.scr一旦用户打开附件,它就会从预先确定的位置下载最新的Gameover Zeus变体,如下所示: 显示硬编码URL的解密有效负载最新宙斯变种下载下载的Gameover Zeus变体进一步删除了其自身的副本,并将其运行为:%本地设置%\Temp\Eqxav\epoxs.exe文件它还删除并运行批处理文件,从%TEMP%目录删除原始可执行文件:"C:\WINDOWS\system32\命令提示符"/C"C:\DOCUME~1\zuser\LOCALS~1\Temp\MLZ6405.bat" @回声关闭:akkaozdel/F/Q/A RSHAIL"C:\Documents and Settings\zuser\Local Settings\Temp\mss3.exe">nulif exist"C:\Documents and Settings\zuser\Local Settings\Temp\mss3.exe"goto akkaoz 它创建以下注册表项以确保系统重新启动时的持久性:HKCU\Software\Microsoft\Windows\CurrentVersion\Run\ePosts="%Local Settings%\Temp\Eqxav"\epoxs.exe文件"bot进一步向多个系统进程注入代码,免费ddos防御系统,包括资源管理器.exe. 它创建一个远程线程,负责运行域名生成算法并连接到命令与控制(C2)服务器。成功连接到C2服务器后,bot将下载包含银行url和web注入插件列表的最新配置。下面是由DGA线程生成的示例域的列表: 1vi2us1syijqh1gmhwuxmr1iwt[.]com净值CUL4HLEH07WE1J2CC1MA964M[.]组织1l9asc2b3mmf3dpth1d1ct987[.]净W7VLD0891U1D1LHBHVH17B5LFO[.]通信1aipcuziz5kqakplu9c5upujb[.]组织UCCM0D1TDX38TONP9VH1JO2F4[.]商务i8gwl8hwjijd1ldh10ovl05iu[.]组织qxvt8m18q3wbf12992zo16mx3rb[.]通信14h98mo70orwoj8gf9j1a6sz4r[.]净hv1eifdb3pxw1fp250cnpe34f[.]业务17f2nku9i6zbtzs1u1v1pih3ie[.]净1hn3lbe1qwdo6k1qm3b0q1yklg1r[.]通讯ukoizw1g9vy8c1jxlh7610o2h8z[.]净zja38vktoo9i1yc8xk16sq76p[.]商务1ahnharg5apuxe5oex1qy80ql[.]组织1qozjh16vj4xz1rhcr31x7hrtf[.]com 它还会枚举所有正在运行的进程,并在出现以下任何字符串时从这些进程中窃取信息:  金融和银行相关字符串的解密列表特征进化还是去进化之前的Gameover Zeus变种除了故障转移域生成算法(DGA)外,还使用了P2P命令和控制协议来建立与C2服务器的连接。然而,这个新的变种没有P2P命令和控制协议,而是退回到旧的DGA,使用快速流量策略来隐藏C2服务器。我们认为这是一种倒退,因为P2P是一种更具弹性的特性。我们观察到的另一个倒退是缺少内核模式rootkit,它是今年早些时候由Gameover Zeus运营商在上一个版本中推出的一个更新。rootkit使得移除恶意软件变得非常困难,并且禁用了受感染者的多个安全功能系统.DGA主动域与指挥控制服务器趋势机器人的DGA每天输出1000个新的独特的域名,但是游戏玩家宙斯的运营商对他们打算使用的域名保密,直到他们注册的前几个小时。下面是由僵尸网络运营商注册并在过去七天内主动解析到C2服务器的DGA域的映射: 指挥控制服务器IP信息和地理分布图: 活动C2服务器位置和ASN信息    以下是我们在过去七天截获的C2回调趋势:    最活跃的C2服务器IP地址之一似乎也是过去Zeus在移动(Zitmo)变体中的控制服务器,如下所示:  这进一步证实了同一伙人参与。结论这个新的游戏玩家宙斯的变种似乎是这个臭名昭著的银行木马僵尸网络家族卷土重来的开始,但在很多方面它都是一种倒退。感染人数仍然很低,linux下ddos防御,要达到政府撤军前观察到的感染率,高防cccdn,还有很长的路要走。Zscaler ThreatLabZ将继续监控这个僵尸网络家族在未来几个月内的活动,包括活动C2服务器以及任何功能更新,性价比高的全球高防cdn,并将确保保护客户。-深化德赛Zscaler_媒体_中心2_博客_发布_1-R1