来自 网络 2021-05-03 04:00 的文章

防cc攻击_cc防御脚本_超稳定

WIN32/CAPHAW新一轮攻击&ThreatLabZ分析介绍并设定上个月的背景,ThreatLabZ的研究人员一直在积极监测最近Win32/Caphaw(此后被称为Caphaw)感染数量的上升,这些感染自2011年以来一直在积极地针对用户的银行账户。你可以从WeLiveSecurity今年早些时候针对欧盟银行业的这一威胁所做的研究中认识到这一威胁网站。这一次看起来也没什么不同。到目前为止,我们已经将这一威胁与监控受害者登录24家金融机构的凭证联系起来。关于Win32/Caphaw根据WeLiveSecurity研究员Alekandr Matrosov的分析,Caphaw特洛伊木马是一种金融恶意软件攻击,其功能类似于Carberp、Ranbyus和Tinba威胁。这些攻击都是利用线下和线下的隐形战术进行的。Caphaw通过将自己注入到合法的过程中,如资源管理器.exe或者进程名, 同时,通过使用域生成的算法使用自签名SSL证书创建地址来混淆其电话总部流量。这限制了传统网络监控解决方案解析线路上数据包的能力,以防任何恶意交易。Caphaw攻击欧洲主要银行和分析显示,这种恶意软件在英国、意大利、丹麦和土耳其最为活跃。考虑到此处显示的已映射已知受感染节点,这种情况尤其普遍。从受感染主机派生的geoip(位置)信息对此恶意软件具有特殊意义。该恶意软件利用以下合法URL:hxxp://j.maxmind.com/app/geoip.js以发现新感染者的geoip信息管理员应将此交易视为调查任何可疑活动的起点。它不是恶意服务,但说明了恶意软件编写者如何利用甚至合法的服务。感染使用此脚本的输出来提取有关受感染主机/受害者的位置信息。在研究时,我们无法确定最初的感染媒介。我们可以看出,它很可能是作为漏洞工具包的一部分出现在易受攻击的Java版本上的。我们怀疑这是因为通过我们的行为分析(BA)解决方案的每个事务的用户代理都是:Mozilla/4.0(Windows XP 5.1)Java/1.6.0_07。已知放置位置的UserAgent正在使用Java版本1.6.07操作用户。删除的可执行文件在每个实例中的变化都是不同的,因此难怪标准AV无法跟上(研究时为1/46)。这种AV性能还表明,在撰写本文时,服务器如何防御cc,有人在其网络内主动感染这种感染的可能性相当低。使用DGA域生成算法(或DGA)表示在各种恶意软件家族中可以看到生成大量准随机域名的算法,ddos防御技术,这些算法可以用来识别恶意软件的命令和控制(CnC)服务器,以便受感染的主机可以"回拨"和接收/发送命令/数据。大量随机命名的潜在集合点使得调查人员和执法机构极难确定并"拆除"CnC基础设施。此外,性价比高的全球高防cdn,通过使用加密技术,它又增加了识别和锁定指挥和控制资产的难度,最初将我们引入这种威胁的是在执行丢弃的恶意软件包之后使用DGA。我们在我们的行为分析(BA)实验室中运行了三个攻击序列的测试实例,以说明DGA在恶意软件攻击序列中的使用:实例1 cso0vm2q6g86奥沃.提波齐.苏5qloxxe.tohk5ja.cc k2s0尤兹。奥加赫。苏实例2 v8ylm8e。太保.su2g24ar4vu8ay6.tohk5ja.cc公司D6VH5X1IC1YYZ1I。乌嘎·苏实例3 t2250p29079m6oq8。太保.sungb0ef99.tohk5ja.cc公司nxdhetohak91794。乌嘎·苏图案("ping.html?r=")通常为过去版本的Caphaw所使用。如果在用户日志中看到此字符串,请不要立即惊慌,因为它在使用outbrain.com网站"服务。您需要查找使用/ping.html?r=不包含"/utils/"。希望这有助于缩小搜索范围,看看您是否遇到过类似以下屏幕截图的事务。DGA被用来隐藏我们迄今为止收集到的所有64个不同样本的初始检测活动,已经有469个不同的IP地址被呼叫到DGA位置,其中的一个小样本说明了通过网络日志收集的phone home数据与Caphaw示例的BA之间的联系。此处使用的DGA显示了Caphaw phone home活动与可疑威胁沙盒样本之间的联系使用SSL加密通信最初的指标是终端用户主机和互联网上不同存在点之间神秘的自签名SSL通信量,恶意软件的CnC基础设施的潜在组件。请参阅下面的屏幕截图,显示在恶意软件通信中使用的自签名SSL证书:下面的其他屏幕截图显示受感染主机和远程CnC服务器之间的SSL握手:受感染主机和远程CnC服务器之间的SSL通信在攻击序列中创建了一个二进制可执行文件(.exe),并伪装成.php文件。此可执行文件是使用Microsoft Visual C++创建的,怎么防御ddos,创建者没有从最终可执行文件中删除调试信息。这个文件被丢弃的位置和文件本身的名称都是随机选择的。例如,北京高防cdn,在一个测试实例中,我们发现它是:C:Documents and Settings\user\ApplicationData\Sun\Java\Deployment\SystemCache\6.0\9\类型perf.exe我们在BA实验室运行的三次恶意软件执行过程中,我们观察到以下可执行文件及其放置位置:\Documents and Settings\%USER%\ApplicationData\Sun\Java\utilman.exe文件\文档和设置\%USER%\ApplicationData\Microsoft\Proof\事件触发器.exe\文档和设置\%USER%\ApplicationData\Microsoft\Office\cliconfg.exe文件恶意软件进行以下重要的API调用:LoadLibrary GetProcAddress Virtualalloc恶意软件可执行文件将检查它是否在VM环境中运行,并确保安装它的主机连接到Internet(如果失败,它将无法运行)。该恶意软件还通过在注册表中创建以下自动运行项来显示持久性:HKEY\U USERS\Software\Microsoft\Windows\CurrentVersion\Rundfrgntfs.exe文件Unicode C:\Documents and Settings\user\Application Data\Sun\Java\Deployment\SystemCache\6.0\9\类型perf.exe*成功或等待1B8EF5F RegSetValueExA更进一步,运行时的可执行文件,修改资源管理器.exe进程来确保它的自签名证书不被缓存,并且它也隐藏在资源管理器.exe确保隐藏保护横幅以便更隐蔽地执行的过程:HKEY\U USERS\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3 2500 dword 3成功或等待1 DAEF5F RegSetValueExA HKEY\USERS\Software\Microsoft\Windows\CurrentVersion\Internet Settings DisableCachingOfSSLPages dword 1 success或wait 1 DAEF5F RegSetValueExA HKEY_USERS\Software\Microsoft\Internet Explorer\Main NoProtectedModeBannerdword 1 success or wait 1 DAEF5F RegSetValueExA恶意软件会增加系统进程以阻止其删除,再次进行持久性:328 C:\WINDOWS\system32\wscntfy.exe文件B30000 344064 D4 1E 5E EA 74 1E 9F 25 F9 CC 18 A3 28 FD 93 C3 1E 78 1D 8C空调81 22 5F D3D4 D4 4 D4 6 D4 6 6 6 C 6 6 C 6 6 C 6 6 C 6 6 D 6 6 6 C 6 C E 1 DD BB 23 F7 7 7 6 D 6 6 A7 40 D7 7 7 7 A7 40 D7 7 7 E12 70 30 30 28 92 BD 7 F 1 D 1 1 4 4 5 5 5 5 5 5 5 5 5 5 5 4 D8 8 8 8 72 94 D8 8 8 6 6 6 6 6 6 E4 4 D8 8 8 6 6 6 E4 D8 8 6 6 6 6 E8 D8 6 6 6 E4 D8 8 8 D8 6 6 6 E4 B8 8 8 8 8 8 8 8 8 8 8 6 E4 8 8 8 D8 6 6 6 6 6 6 6 6 6 6 6 6 6 6 6 6 6 6 6 6 6 6 6 6 6 6 6 6 6 6 6 6 6 6 6 6 22 88 A2 15 45 59 CEA5 CF64 23 A7 A7 AB E3 A4 4C C4 08 79 FC 5C C是9C D1 FE 87 58 58 22 A4 B5 B5 7D 64 29 E4 24 E4 30 EC 87 D3 5D 1F F5 F5 2B 4F A9 56 42 B9 9 9 B9 6 C B2 77 BD 90 C5 42 39 39 03 9E FD 93 91 91 42 AF F8 F8 1B 69 FD 2A 5E 5B B 2 0A B4 4 6 D FE 73 0C AE 6 C 6 C D D D6 6 36 C3 6 D E8 8 85 58 E3 94 94 8 8 8 8 8 8 8 8 8 8 8 8 8 C4 4 4 3 B 3 3 3 8 8 B 3 3 3 3 8 8 8 8 8 8 8 8 8 8 8 8 B 8 8 8 8 8 8 8 8 8 8 8 8 8 8 8 8 8 83岁成功或等待1 DA8FB2 WriteProcessMemory 1612 164 7C8106E9 DC5A7B C:\WINDOWS\资源管理器.exe成功或等待1 CC004D CreateThread威胁和影响的范围进一步证据存在于银行信息中在所有被分析的样本中,我们发现以下24家主要银行的网站正受到感染的积极监控,主要是为了寻找受害者的网上银行凭证。这是基于从添加到资源管理器.exe过程。苏格兰银行巴克莱银行第一直接银行桑坦德银行股份有限公司第一公民银行美国银行西主权银行合作银行资本一金融公司大通曼哈顿公司花旗私人银行商业银行