来自 防护 2021-05-03 00:13 的文章

免备案高防cdn_服务器防火墙的配置与管理_免费试用

免备案高防cdn_服务器防火墙的配置与管理_免费试用

签了德里克斯的竞选活动介绍恶意软件作者使用各种手段使他们的恶意软件看起来与合法软件相似。其中一种方法是使用数字证书对恶意软件样本进行签名。最近,ddos防御方法历史,我们看到Dridex恶意软件作者在审查我们的云沙箱中的样本时使用了这种技术。Dridex是一种银行特洛伊木马,通常通过带有Microsoft Office文件附件的恶意垃圾邮件到达系统。这些文件将包含导致下载和安装Dridex特洛伊木马的嵌入宏。然后,德里克斯试图窃取受害者的银行凭证和系统信息。 签了德里克斯的竞选活动在这里,我们遇到了一个带有加密宏的恶意附件,它从81.17.28.101/bt/bt/sti[.]php下载签名的Dridex示例。这个Dridex示例使用一个定制的打包器打包,它是用.NET编译的。目前的Dridex是用一份发给私人人士Parobii Yuri Romanovich的证书签署的。此证书是专门为传播Dridex恶意软件而创建的。 证书     我们还在用于签名Dridex可执行文件的证书中看到了以下签名者信息:PJSC"BIZNES AVTOMATYKA公司AVTOZVIT科学生产私人公司私人人士帕罗比·尤里·罗曼诺维奇这些证书都是由COMODO颁发的,我们观察到以下URL为签名的Dridex恶意软件提供服务:185.14.29.214/bt/bt/sdp[.]菲律宾比索81.17.28.101/bt/bt/sti[.]菲律宾比索5.196.241.204/bt/bt/ched[.]菲律宾比索217.12.203.171/bt/bt/freda[.]菲律宾比索94.250.252.13/bt/bt/stata[.]菲律宾比索149.202.146.176/bt/bt/chdid[.]菲律宾比索93.170.105.60/bt/bt/grtes[.]菲律宾比索下面是从前面提到的url提供的Dridex示例。所有样品均采用上述相同的.NET包装器包装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封隔器:Dridex样品嵌入封隔器的资源区。解包后,它将删除一个borlanddelphi可执行文件。以下是加密资源段的快照: 加密资源节Dridex活动:当前的Dridex示例尝试连接到配置文件中包含的不同ip。样本的配置文件嵌入到样本本身中。在配置文件中,我们观察到僵尸网络ID和C&C服务器列表。下面是配置文件的快照: 配置文件 Dridex收集以下系统信息并将其发送到配置文件中提到的其中一个C&C:计算机名用户名Windows版本僵尸网络ID发送到服务器的信息下面是它尝试连接的C&C的完整列表。80.247.233.1891.121.82.11369.164.213.85美元79.143.191.147199.241.30.233162.243.12.14188.93.73.90美元195.154.184.240结论在签署恶意软件可执行文件时使用合法证书来逃避安全检测并不新鲜,但仍然非常有效。恶意软件作者的目的是通过对示例进行签名来利用基于代码签名证书的白名单方法。Zscaler ThreatlabZ正在积极监控这些已签名的恶意软件活动,ddos防御整体方案,防劫持高防云cdn,网站安全防护,并确保覆盖我们的客户。 Tarun Dewan和Nirmal Singh分析Zscaler_媒体_中心2_博客_发布_1-R1

,cc防御软件