来自 网络 2021-10-13 06:22 的文章

高防御cdn_服务器防御软件_怎么防

高防御cdn_服务器防御软件_怎么防

CCleaner是一个用于对系统执行日常维护的流行应用程序,最近被发现包含恶意后门。这可能使远程攻击者能够从主机提取敏感数据,或在主机上执行恶意代码。漏洞详细信息对32位的恶意修改CCleaner.exe文件二进制文件(CCleaner版本5.33.6162和CCleaner Cloud版本1.07.3191)包含两个阶段的后门,允许远程攻击者在受影响的系统上执行代码。代码修改隐藏在CCleaner的初始化代码中,称为CRT(公共运行时),通常在编译时插入。修改后的代码在执行应用程序代码之前执行各种任务,包括解包和解密外壳代码。然后,低成本ddos防御海外高防,代码将执行以下操作:创建一个运行Windows\Mo软件的注册表项列表,高防cdn_504错误什么意思,包括安装的Windows注册表项的名称,百度云加速能防御cc,前三个网络适配器的MAC地址以及其他信息,例如进程是否以管理员权限运行,它是否是64位系统等等。使用带有自定义字母表的base64对所有收集到的信息进行加密和编码。通过HTTPS POST请求将编码信息发送到外部IP地址216[.]126[.]225[.]148,其硬编码的HTTP主机头为"主机:speccy.piriform.com网站"使请求看起来合法。与远程IP通信以下载第二级有效负载。如果硬编码的IP地址无法访问,恶意代码将使用域生成算法(DGA)将通信重定向到其他位置。这些生成的域不在攻击者的控制之下,目前不构成任何风险。有效覆盖Tenable发布了一组插件,可帮助您确定网络上当前是否安装了CCleaner,以及安装的版本是否有后门:插件ID姓名103302梨形CCleaner 5.33.6162后门103303梨形云1.07.3191后门103304已安装梨形清洁云103305安装梨形清洁器找到易受攻击的系统启动.ioVulnerability Workbench,点击"Advanced"并搜索插件名是否包含"CCleaner":对于任何恶意软件情况,应始终使用预定义的恶意软件扫描模板对系统运行恶意软件扫描。插件,cc攻击最有效防御,如插件59275,恶意进程检测,将报告是否有任何系统被感染。有关设置扫描的详细信息,请参阅泰纳布尔.io扫描工作流文档。我们还建议您检查插件92371(Microsoft Windows DNS缓存)的输出,以查看是否有任何计算机连接到这些域。一个或多个主机已经被连接到另一个或多个连接到后门的主机。ab6d54340c1a[.]通信aba9a949bc1d[.]通信ab2da3d400c20[.]通信ab3520430c23[.]通信ab1c403220c27[.]通信ab1abad1d0c2a[.]通信ab8cee60c2d[.]通讯ab1145b758c30[.]通信ab890e964c34[.]通信ab3d685a0c37[.]通讯ab70a139cc3a[.]通信一些其他有用的检查包括:使用插件20811、Microsoft Windows Installed Software Enumeration(credentialed Check)检查未安装的程序是否有安装过CCleaner的迹象。在插件70329(Microsoft Windows进程信息)的输出中,检查CCleaner进程和版本信息,以查看受影响的CCleaner版本是否正在您的网络上运行。使用插件64582,Netstat连接信息,在Netstat输出中搜索已知的恶意IP地址"216[.]126[.]225[.]148"你也可以使用泰纳布尔.io检查以前的扫描是否有迹象表明此后门漏洞在您的网络中存在的时间超过您可能意识到的时间。如果选择上一次扫描泰纳布尔.io,您可以搜索DNS域、进程或上述其他信息的标志。Nessus®网络监视器(以前称为PVS™) 还发布了一个签名,如何防御300g的ddos,用于检测远程主机是否对已知恶意域的列表执行DNS查找。客户应该做什么只有安装了32位版本CCleaner for Microsoft Windows的用户才会受到此后门漏洞的影响。安装了CCleaner 5.33.6162版的客户应升级到5.34版或更高版本。使用CCleaner云1.07.3191版本的客户已经收到了一个自动更新。感谢Scott Caveza对本博客的贡献。