来自 网络 2022-06-02 15:30 的文章

ddos防护_cdn防御系统源码_精准

ddos防护_cdn防御系统源码_精准

黑市Windows banking&POS特洛伊木马Minerva在荒野中转向

如今,从创建恶意程序到将其传送到受害者电脑上的道路漫长,涉及许多不同的玩家,他们的目标相同——获取经济利益。恶意软件作者通常将他们的软件提供给网络犯罪分子,而网络犯罪分子又通过地下论坛进行传播。这就是他们保持匿名身份的方式。我们以前见过许多著名的恶意程序都是以这种方式启动的。

过去,俄罗斯银行特洛伊木马Carberp在阴暗的论坛上大肆宣传。今年年初,据报道,ddos防御方法历史,高防服务器和高防cdn,有人试图出售一种名为"监狱储物柜"的新勒索软件。去年,我们在博客中提到了特洛伊木马Solarbot,它选择通过一个精心设计的网站进行自我宣传,dns高防和cdn区别,看起来非常官方。

然而,我们并不总是知道每一个恶意软件的所有细节,从代码到它是如何分发的。例如,名为i2Ninja的特洛伊木马去年成为头条新闻,但我们从未收到包含媒体报道的所有功能的真实样本。或者你还记得Linux桌面上的小偷之手特洛伊木马吗?它的Android平台变体也被广告宣传过,但同样,我们在病毒实验室从未遇到过它。这些广告可能缺乏背后的真实代码,或者可能在一堆网络威胁中崩溃。

2013年3月,俄罗斯论坛上引入了一种新的银行特洛伊木马程序,第三方ddos防御,名为Minerva。我们将看到它在承诺的工作中取得了巨大成功。

Minerva机器人主要是一种基于其表单抓取功能的银行特洛伊木马。广告中宣传的支持命令(用于访问网站的vweb和vstealth;新恶意软件下载的更新和关闭)可在二进制文件的参考资料中看到:

以下是该领域恶意软件的简要概述:

最近我们指出,大多数ATM机都运行Windows XP。目标攻击由一个包含字符串"KARTOXA"(俄语中的意思是土豆)的特洛伊木马执行,该特洛伊木马与许多类似的销售点(POS)特洛伊木马(BlackPOS、VSkimmer/Hesetox等)相连。Minerva Bot通常与一些POS特洛伊木马一起分发,智能dns防御ddos,例如Alina、JackBot、VSkimmer等。

此特洛伊木马很可能是直接在汇编中编写的,因为它只包含一个部分。文本包含32位和64位代码。其表单抓取功能是模块的核心。但是,POS窃取功能只是x86模块的一部分。

测试代码段(CS)寄存器的值。如果代码在32位WOW64进程中运行,则CS等于0x23,并且在DecideArchitecture过程中可以切换到64位代码。然后,通过调用IsWow64Process API函数对进程模式进行双重检查。

x86和x64执行之间的切换由retf指令执行,堆栈上有两个参数:段选择器(0x33)和64位地址(0x40C3E1)。这里解释了跳远执行背后的内部结构。

僵尸网络操作员可以使用一个命令和控制面板。ArborNetworks在博客帖子中提供了专家组本身以及被盗数据来源的统计数据。

感谢我的同事Jaromír Hořejší在这一分析中的合作。头像由独立数字艺术家维罗妮卡·贝加诺夫创作。