来自 网络 2021-05-03 06:05 的文章

服务器高防_cdn防御系统源码_指南

服务器高防_cdn防御系统源码_指南

当前特洛伊木马程序Ambler活动更新sinkhole结果:大约24小时后,从注册下面提到的一个特洛伊木马Ambler.net域并监视这个大坑,我只看到大约12个被感染的独特客户端IP"正确"地签入。我确实看到了一些其他的交易,但用户代理和行为表明,这些不是感染,而是来自其他研究人员(如TrendMicro和Google)的。根本不是一个巨大的僵尸网络——有趣的是,所有感染者都来自澳大利亚宿主(国际互联网.net.au, exetel.com.au, tpgi.com.au, internode.com.au, 澳大利亚电信网). 有趣的是,这种特殊的威胁似乎孤立于一个特定区域。在试图识别一些有趣的信标行为的分析过程中,我注意到一些与恶意软件威胁相关的"低"和"慢"活动在一个地方没有记录完整的信息。我会在这篇文章中把它们联系在一起。信标活动是"低"的,因为很少发生网络活动(通常,私服ddos防御,看到108字节的请求和260字节的响应数据),而"慢"是因为信标不太频繁或不规则(尽管这可能也与受害者的正常运行时间有关)。例如,我看到了一个精确的3小时灯塔,接着又是一个超过15小时后的灯塔。在观察到的活动中,我看到请求转到:aunznewl1.com,cdnddos防御,解析到199.71.212.157 aunznewl1.net,没有解析注意:它出现在大多数恶意软件实例中,它试图指向一个.com/.net域对,但在我看到的情况下,只有.com实际注册了。我继续注册了上面的.net域,并将用我找到的任何数据监视和更新这篇文章。路径URL:/新用户.php/通信php?userid=XXXXXXXX\uxxxxxx注意:用户id似乎是2011年的历史时间戳(DDMMYYYY\u HHMMSS),可能与感染时间有关。以上两个URL路径是识别网络中感染的快速简便的方法-我在EmergingThreats中没有看到这些模式。对上述两个域名进行谷歌搜索并没有透露出多少信息。但是,低价法国高防cdn,有一些开源信息可以用来将其与已识别的恶意软件家族联系起来:首先,有一个"特洛伊木马.Win32.Generic"GFI沙盒报告,用于标识HTTP信标到上述同一IP上的域对thausyn2.com和thausyn2.net。使用此报告中的MD5,我们可以提取一个Virus Total报告,该报告显示它被19/41 a/V供应商检测为特洛伊木马。进一步挖掘会显示一些额外的报告,ddos防御工具免费,例如,2011年6月底的一份恶意软件控制报告显示,该恶意软件家族经常被归类为"Ambler"或"Amber"特洛伊间谍变种,防御ddos系统,可以窃取密码和记录击键。这是一个旧的恶意软件家族,似乎与俄罗斯有一些联系。虽然它是一个旧的恶意软件家族,但目前的变种表明它仍在使用,并显示出一些不同的模式,可能会让感染在雷达下飞行。我从一个相关的域下载了一个非常新版本的恶意软件,它的a/V检测非常差:MD5:2936b54a55615ae85f585c6dc1f81b V/T report:4/43二进制文件本身以一系列"PADDINGPADDINGXX"字符串结束文件……Google快速显示了来自Anubis的一些恶意软件报告。它似乎是一个IRCbot,用于进一步下载其他恶意软件,如Ambler特洛伊木马。结合开放源代码报告和一些DNS信息,可以提供用于支持此活动的可疑域基础结构列表:aunznewl.com网站aunznewl1.com aunznewl2.com aunznewl3.com aunznewl4.comthausyn.com网站thausyn1.com thausyn2.com thausyn3.comthaunzsyn.com网站synworkd.com网站狗尾草信息dogoure.com网站dogoure.net网站笑话33.comtredoz.com网站bart165.info lim5ff.com公司买洲1.comlakydogau.com网站注意:现在使用的一些"旧"域名似乎被重新使用了,例如:jokesd33.com似乎是一个可能在家工作/骡子骗局。Zscaler_媒体_中心2_博客_发布_1-R1