来自 网络 2021-06-09 08:15 的文章

香港ddos防御_cdn防御ddos效果_方法

香港ddos防御_cdn防御ddos效果_方法

Cylance vs.Nemucod特洛伊木马下载程序木马下载程序Nemucod自2015年12月以来一直在恐吓用户。我们的威胁研究小组检查的Nemucod变种是通过恶意电子邮件(malspam)活动传递的。目标收到一封包含Zip存档(.Zip)附件的电子邮件,该附件似乎来自可靠的发件人。提取时,存档文件包含恶意的JavaScript(.js)文件。双击JavaScript将导致它在默认浏览器中或通过Windows WScript执行。一旦执行,脚本将包含另一个恶意文件的有效负载下载到系统上。有效载荷通常是勒索软件的流行版本,如TeslaCrypt或Locky。攻击链分析&;amp;amp;amp;amp;amp;amp;amp;nbsp;在整个攻击链的上下文中,nemucd在系统或环境的整体破坏中扮演着有限但关键的角色。作为一个恶意软件滴管,它是一段专门构建的代码,具有一个单一的目标:在不被检测的情况下执行有效负载。有效载荷是可互换的,这使得滴管成为跨多个恶意软件活动甚至参与者组重复使用的主要候选对象。在绝大多数情况下,像nemucd这样的滴管与用户驱动的初始访问技术(例如文件附件、下载链接)一起使用。dropper的复杂性来自于引入的阻碍代码静态分析的混淆,并且可能包括限制dropper将执行的条件的逻辑,从而使动态分析更加困难。在Nemucod中演示的技术是众所周知的、有效的,并且至今仍在使用。考虑到Nemucod通常用于传递的恶意软件类型造成的损害,其信息是明确的:尽早打破攻击链是关键。停止滴管,停止感染Nemucod Maslpam活动以下是Nemucod malspam活动的简要时间表:尼穆科德分析道Nemucod攻击通常是从附加到电子邮件的恶意zip存档文件开始的。在一个案例中,2016年3月28日16:54,ddos防御盾,一封来自法国地址的电子邮件。邮件内容如下:Votre message est prètètètètètètètètètètéavec les fichiers ou liens joints suivants:9758W-TERREDOC-RS62937-15000安全在英语中,这大致可以翻译为:您的邮件已准备好发送,同时加入以下文件或链接:9758W-TERREDOC-RS62937-15000安全消息TERREDOC文件名为6297ZIP-9751000。当目标下载并提取附件时,他们会在里面找到一个名为QQN9875461601.js的小JavaScript文件(图1)。图1:提取的包含恶意下载程序脚本的Zip归档文件这个JavaScript的高级视图显示了一种非传统的编码风格。函数名和变量名用随机字符集混淆(图2)。图2:模糊的JavaScript第53行包含混淆代码,ddos入侵防御方法,该代码将下载名为765f46的可执行文件的URL拼凑在一起vb.exe程序(图3)。图3:构建下载URL当最终用户双击JavaScript文件时,恶意软件会向185.81.2.81托管的受损网站发送连接请求。765f46的请求vb.exe程序文件如下(图4和图5)。该网站不再承载该文件,强制重定向(图4)。图4:连接到185.81.2.81并被重定向图5:765f46的完整包捕获请求vb.exe程序在VirusTotal上搜索有效负载会显示两个哈希值。我们的测试用例使用697CE53503DC8F28B6F9603563181F33D7EF840E8993313D15D5DC4914BFDB31有效负载。进一步的分析展示了版本和指挥控制(C2)服务器的各种配置(图6)。图6:Locky C2服务器的硬编码IP地址这个有效载荷是洛克最早发现的版本之一,怎么识别假的ddos防御,可以追溯到2016年2月。虽然新版本的Locky在加密过程中会创建各种扩展名,cc高防cdn,但是这个版本会将.Locky附加到目标文件中。一旦所有重要的文件都被加密,一个勒索通知,类似于下面,ddos防御品牌,显示在默认浏览器和屏幕上的图像(图7)。图7:Locky折衷注释为什么Nemucod很重要,我为什么要担心?多年来,Nemucod已被用于多个恶意垃圾邮件活动,这证明了它的有效性。它能够传送从勒索软件到后门的大量破坏性恶意软件。Nemucod被大量用作其他恶意软件的goto-delivery特洛伊木马,这使得这一威胁成为全球安全组织关注的问题。塞伦斯停下来了CylancePROTECT®的用户会很高兴听到我们在nemucd执行之前检测并阻止它(图8)。通过阻止Nemucod交付其恶意软件负载,我们为客户免除了因系统漏洞而造成的成本和声誉损害。图8:CylancePROTECT blocks Nemucod