来自 防护 2021-06-08 09:10 的文章

香港高防_网络防御_秒解封

香港高防_网络防御_秒解封

本文最初发表在AppRiver博客上。今年很少有僵尸网络能够发送大量的数据,并像今年的phorphiexworm/Trik僵尸网络那样将感染链打包。2019年,Mealybug威胁组织通过Emotet攻击获得了媒体最多的关注。然而,Phorpiex/Trik僵尸网络并不容易被击败。AppRiver过滤器今年已捕获超过140万条直接附加恶意邮件,其中847947封邮件自2019年4月4日以来到达。这次攻击的感染链给全世界毫无戒心的用户带来了沉重的打击。它从一封包含zip文件的钓鱼电子邮件开始。一旦启动zip中的javascript文件,它将快速加载Phorphiex蠕虫/特洛伊木马加载程序、Gandcrab勒索软件、ursnifisfb(Gozi)银行特洛伊木马和CryptoNight XMRig加密货币miner。 Phorphiex也称为Trik僵尸网络(SDBot Fork) Phorphiex蠕虫是一种已有十年历史的蠕虫病毒,防御cc攻击哪家比较好,历史上通过实时聊天(Windows Messenger/Skype)和USB存储驱动器传播。最近,它成为新闻,因为一个泄漏的服务器发现了43555741个独特的电子邮件地址,分布在460万个域中。最近已经通过Trik(SDBot Fork)的另一个名称来跟踪它,但不应与Trickbot banking特洛伊木马混淆。Trik使用IRC进行命令和控制通信,并包含下载和运行额外的可执行程序、暴力电子邮件凭据以及利用受感染系统进一步传播垃圾邮件和恶意负载的能力。我们检查的示例包含通过修改Windows注册表值来禁用防病毒和防火墙保护的功能:AntiVirusOverride、UpdatesOverride、FirewallOverride、AntiVirusDisableNotify、UpdatesDisableNotify、AutoUpdateDisableNotify和FirewallDisableNotify。它还包含基本的反分析功能,以确定它是否在恶意软件研究环境中。方法包括将正在运行的进程与已知的分析工具进行比较、检查文件夹名、用户名、使用findwindowapi以及通过IsDebuggerPresent函数检查调试。 Trik僵尸网络钓鱼电子邮件 对用户来说,最好的事情是Trik垃圾邮件相对来说比较容易识别,发送地址使用一个假的名字,后面跟着两个随机数字@然后是四个随机数字数字网.这些用于垃圾邮件的名字和数字是硬编码到Trik中的,遵循一个基本的结构。主题是不同的,但是,对于这个活动的主体包含相同的笑脸表情和图片的附件命名格式-邮政编码. 初始有效载荷(1.exe)-Gandcrab勒索软件v5.2 Gandcrab是今年以来通过电子邮件传播最广泛的勒索软件。作者们被一些研究人员称为Pinchy Spider,ddos防御2g,不断更新它以帮助避免反病毒检测。这是一种勒索软件即服务(RaaS)的商业模式。Pinchy Spider从使用该软件的演员的利润中扣除60-70%。新的勒索软件发送者还可以在两个月内为200名受害者支付100美元。此外,它还可以获得1200美元的许可证。这使得更熟练的攻击者能够利用自己的徽标并根据需要更新代码,以帮助避免检测。由于许多不同的演员使用Gandcrab,要求的赎金数额差别很大,但记录在案的金额从250美元到40万美元不等。解密软件存在于5.2之前的许多版本,但目前还没有办法免费解密这个版本。5.2版很可能是在解密工具公开后发布的 加密劫持有效载荷(2.exe)-CryptoNight XMRig Miner加密劫持一台机器仅仅是未经授权使用他人的机器来开采加密货币。将加密货币矿工链接到已经包括勒索软件的攻击中,ddos防御php,银行特洛伊木马确保了恶意参与者的盈利能力。开源软件XMRig允许通过CPU或GPU硬件挖掘Monero加密货币。比特币需要更昂贵的GPU硬件来有效地挖掘比特币。然而,CryptoNight XMRig算法有利于CPU,恶意的参与者通过成功的攻击获得更高的金钱收益。捕获的JSON登录通信-发送到92.63.197.153:7575{"id":1、"jsonrpc":"2.0"的"2.0","方法"的"登录","params":"登录"的"登录":"登录"的"登录":"eeeb5d54-787880-42a7-b542-739bbc266cfb4b","通过":"x","代理":"XMRig/2.13.1(Windows NT 6.1;Win64;x64)libuv/1.20.3、gcc/8.2.2.0"、"algo"的"cn/r"、"cn/wow","cn/2","cn/1","cn/0","cn/一半","cn/xtl","cn/msr","cn/msr","cn/xao",ddos防御方法弹性ip,"cn/rto",路由ddos防御软件,"cn/gpu","cn/gpu","cn/gpu","cn/gpu","cn"]}}。 银行特洛伊木马有效负载(4.exe)-Ursnif/Gozi ISFB 自2007年以来,Ursnif/Gozi作为一种在全球分布的银行特洛伊木马,是全球最大的威胁之一。俄罗斯原著作者尼基塔·库兹明(Nikita Kuzmin)被捕后,法庭下令赔偿690万美元,同时在监狱服刑37个月,然后以未公开的条款获释。从那时起,Gozi的源代码被泄露、改进,并添加了新的特性。当前版本现在被称为Ursnif/Gozi ISFB,它位于GitHub上,供任何人使用。我们最常看到的攻击(除了Trik活动外)是以会话劫持攻击或伪造简历的形式分发的乌云僵尸网络。然而,由于特洛伊木马具有逃避检测和分析的能力,许多组织都会动员它。ISFB窃取者的主要功能:键盘记录捕捉系统上正在进行的活动的屏幕截图和视频保存结构目录的浏览器cookie信息提取检索存储在Windows系统存储中的证书获取电子邮件凭据使用浏览器API来挂断电话并提供合法银行网站的替代品(钓鱼网站)捕获FTP凭据 妥协指标(IOC):主要对象-"PIC074780520-日本邮政:"sha256 5ef40d547de68ffbb7c265ae074b24ae34bffaaa4420d25fe7d9c70f81c952e8sha1 C4F7F94FE74DFE1EC1B9807806BC4CCC87D1D487Dmd5 2d0df477069cba3cf75ec987a0e9270fDropped可执行文件文件:sha256 C:\Users\admin\AppData\Roaming\Microsoft\Windows\Templates\619514.exe90d3580e187b631a9150bbb4a640b84c6fa990437febdc42f687cc7b3ce1deac sha256 C:\Users\admin\AppData\Local\Microsoft\Windows\Temporary Internet文件\目录.IE5\K78MRVB5\1[1].EXE2709D7884E71CDEB419E81453644EDEF69F8373A7A676C85C4D85F1AB67BE46 sha256 C:\Users\admin\AppData\Local\Microsoft\Windows\Temporary Internet Files\目录.IE5\D2U1WPAC\2[1].exe1a26ce3b96b1ccd7af4c8d6f4de0e4b4320535b20895a295e1a96aa009843a71 sha256C: \Users\admin\AppData\Local\Temp\2482930933.exe60924e938260500bea6ca3a3475455bdea8ec70ad6df3358f2f86746061c535dns请求:efhoahegue[.]ru领域afhoahegue[.]鲁地区tfhoahegue[.]ru区rfhoahegue[.]ru领域xfhoahegue[.]ru域阿夫霍赫格地区efhoahegue[.]su领域rfhoahegue[.]su领域tfhoahegue[.]苏区xfhoahegue[.]苏域域解析程序1.opendns[.]com域11 Totalzaeloop11[.]俱乐部域公司[.]链接域我的IP.opendns[.]通信域名adonis medicine[.]atConnections:ip 92.63.197.153ip 208.67.222.222ip 188.254.179.205ip 107.173.49.208ip 192.35.177.64HTTP/HTTPS请求:网址医学at/images/QCnhd13eICD U 2/FPJ2piPS/PS U2BXEv9VPAGP4MTX U2F5V/1dd3qTe U2F/Hu3xzapmxxCvbshkwm/SXNfDncA7LDF/cVEdPbPh7A U2BX1P7E4FE5 U 2/BWTVPI8LL33N3URWJ2CCF/j207fj U2B1A7SCAA/MGBRLGM U2GGGGGGGGGG2GGGGGGGGGGGGG2GG2GG2GGGGGGG2GGYG/BxxxVxxxxxxxXXXXXXXXXXXF5mrprx_2号/BMLflLF.gif 网址[.]153/s/4.exe文件网址[.]153/s/3.exe文件网址医学在/images/xpzysftst0_2FVlnv/nvggahdeh1fvw2 byg/MmdXsFq9DvBELXouRNsWNb/6jOOxvSLBXkgr/br9sw7Ua/tnguy90pka4okqp8eg5khe/H32t42meYu/pqbx6vuidptua9/VqdUlN0_2BRK/3ftegzdg0t/bs8rCrcwh0fb/wyjqwwwwwwwwwwwwwwwwwwwwwwwyjwwwwwwwwwwwwwwwwwywwwwwwwwwwwwwwwwwwb_2B/HSqc3.bmp网址[.]153/s/VNEW=1网址[.]153号/好的.exe 网址[.]153/s/1.exe文件网址[.]153/s/2.exe网址[.]153/s/5.exe文件网址[.]链接/网址[.]153号/更新.txt