来自 防护 2021-06-10 14:13 的文章

ddos防火墙_抗ddos设备的作用_零元试用

ddos防火墙_抗ddos设备的作用_零元试用

作者:尼古拉斯潘塔佐普洛斯,斯特凡诺·安特努奇(@Antelox),迈克尔·桑德,与NCC的裂谷密切合作。关于研究与情报融合团队(RIFT):RIFT利用我们的战略分析、数据科学和威胁搜寻能力,创建可操作的威胁情报,从IOC和探测能力到关于未来威胁前景的战略报告。网络安全是一场军备竞赛,攻击者和防御者都在不断更新和改进他们的工具和工作方式。为了确保我们的托管服务能够有效应对最新威胁,NCC集团运营着一个以福克斯IT为核心的全球融合中心。这个多学科团队将我们领先的网络威胁情报转化为强大的检测策略。1介绍WastedLocker是一个新的勒索软件储物柜,python编写ddos防御,我们检测到自2020年5月以来一直在使用。我们相信,在这之前,它已经开发了几个月,并且是与我们看到的源自邪恶集团的其他一些变化一起在2020年开始的。邪恶公司此前与Dridex恶意软件和BitPaymer勒索软件有关联,后者在2017年上半年崭露头角。最近,邪恶公司改变了一些与其运营相关的TTP,本文将对此进行进一步描述。我们认为,这些变化最终是由对伊戈尔·奥列戈维奇·图拉舍夫和马克西姆·维克托罗维奇·雅库贝茨的起诉启封以及2019年12月对邪恶公司的金融制裁造成的。这些法律事件引发了一系列事件,使目前的邪恶集团与这两名被起诉的具体个人的联系与邪恶集团的历史行动脱节。2归因与演员背景我们多年来一直跟踪邪恶集团的活动,尽管该集团自2011年以来改变了其组成,但我们仍然能够追踪到该集团在这个名称下的活动。2.1参与者跟踪例如,在有组织的网络犯罪集团中,商业协会的流动性相当大,合伙企业和从属关系的形成和解散要比国家支持的集团更为频繁。国家支持的组织通常在较长时间内以类似的形式运作。因此,鉴于难以保持对网络犯罪集团能力的准确和最新评估,网络威胁情报报告可能具有误导性。例如,Anunak群(也称为FIN7和Carbanak)的成分变化非常频繁。因此,公开报道FIN7和Carbanak以及它们在各种公开和封闭源代码威胁源中的各种关联,可能会扭曲当前的现实。Anunak或FIN7集团与邪恶集团(Viil Corp)以及公开称为TA505的组织密切合作。因此,TA505活动有时仍被报告为邪恶集团活动,尽管这些组织自2017年下半年以来没有合作过。由于商品恶意软件通常被出售给利益相关方进行大规模分发,ddos防御中心,或者提供给具有特定类型业务货币化经验的合伙人,例如金融机构,因此很难准确地确定恶意软件或感染浪潮的责任。同样,ddos能防御的了吗,在许多以财务为导向的有组织犯罪集团被公开追踪时,也很容易产生混淆。与被害人组织的接触是犯罪行为人之间的一种商品交易,因此经常存在与集团日常运作不一定相关的业务联系。2.2邪恶集团尽管如此,尽管存在这些困难,但我们认为,由于我们对该集团的深入跟踪,因为它对我们的客户构成了重大威胁,因此我们可以高度自信地声明以下内容。邪恶公司自2014年7月以来一直在运行Dridex恶意软件,并向多个团体和个人威胁参与者提供访问权限。然而,在2017年底,邪恶集团变得更小,通过部署BitPaymer,几乎完全将Dridex感染用于有针对性的勒索软件活动。大多数受害者在北美(主要是美国),西欧的受害者人数较少,这些地区以外的案件只是零星的个别案件。2018年期间,邪恶集团与TheTrick group建立了短暂的合作关系;具体而言,在BitPaymer使用Ryuk之前,将BitPaymer的访问权出租一段时间。2019年,比特币出现了一个分支,通常被称为DoppelPaymer,尽管这是一种勒索软件服务,因此商业模式不同。我们注意到这两个集团之间有一些合作,但迄今还不能就这两个威胁行为体集团之间目前的关系得出明确结论。在美国司法部(Department of Justice)的起诉书和美国财政部(US Treasury Department)针对邪恶集团(Evil Corp)采取行动之后,我们发现,邪恶集团(Evil Corp)在2020年1月之前有一段时间没有采取行动。然而,自2020年1月以来,活动恢复正常,受害者与以前一样出现在同一地区。然而,有可能这主要是一个战略举措,向公众表明,邪恶集团仍然活跃,因为从2020年3月中旬开始,我们未能观察到他们在比特币部署方面有多少活动。当然,这一时期恰逢COVID19大流行造成的封锁。新恶意软件的开发需要时间,很可能他们已经开始开发新技术和恶意软件。早期的迹象表明这项工作正在进行中,包括使用我们称之为Gozi ISFB 2变体的Gozi变体。据认为,这个变体是作为目标网络上持久组件之一的Dridex僵尸网络501的替代品。类似地,已经观察到了一个定制版本的cobaltsteck加载器,可能是为了取代之前使用的帝国PowerShell框架。该集团有机会接触到技术高超的开发人员和软件开发人员,这些开发人员能够绕过所有不同级别的网络防御。该组织似乎花了很大的努力绕过端点保护产品;这一观察是基于这样一个事实:当在受害者网络上检测到他们的恶意软件的某个版本时,该组会返回一个未被检测到的版本,并且在很短的时间内可以继续使用。这表明受害者充分了解发生的每一个事件的重要性。也就是说,从更先进的犯罪行为体中发现或阻止一个单一因素并不意味着他们已经被击败。邪恶公司为了绕过endpoint protection工具所付出的代价有这样一个事实:他们滥用受害者的电子邮件,以便冒充供应商的合法潜在客户,并申请一种不常见的流行endpoint protection产品的试用许可证。根据多年来积累的实践经验,该小组似乎经常在受害者网络中找到创新但实用的绕过检测的方法。他们还表现出耐心和毅力。在一个案例中,他们在最初未能获得特权访问后的6个月内成功地破坏了一个目标。他们还表现出对细节的关注,例如,确保他们在部署勒索软件之前获得禁用网络安全工具的密码。2.3垃圾桶新的WastedLocker勒索软件出现在2020年5月(技术说明如下)。勒索软件的名称来自它创建的文件名,文件名包括受害者姓名的缩写和字符串"wasted"。BitPaymer中也出现了受害者姓名的缩写,尽管BitPaymer中使用了组织名称的较大一部分,个别字母有时会被类似的数字取代。从技术上讲,WastedLocker与BitPaymer没有太多共同之处,除了受害者特定的元素似乎是使用特定的构建器而不是在编译时添加的,这与BitPaymer类似。在这两个恶意软件生成的赎金记录中也发现了一些相似之处。我们发现的第一个WastedLocker示例包含了BitPaymer ransom notes中的受害者姓名,同时还包含了两个protonmail.com网站以及tutanota.com网站电子邮件地址。后来的版本还包含了其他Protonmail和Tutanota电子邮件域,sdkddos节点防御,以及eclipse和Airmail电子邮件地址。有趣的是,勒索信息中列出的电子邮件地址的用户部分是数字(通常为5位数字),这与比特支付者在2018年使用的6到12位数字类似。邪恶集团在部署勒索软件时,在基础设施方面是有选择性的。通常,它们会攻击文件服务器、数据库服务、虚拟机和云环境。当然,这些选择也会受到我们称之为"业务模式"的严重影响,cc防御用什么盾牌好,这也意味着他们应该能够禁用或中断备份应用程序和相关基础设施。这会增加受害者的恢复时间,或者在某些情况下由于离线或异地备份不可用,根本无法恢复。有趣的是,该组织似乎没有像DoppelPaymer和许多其他有针对性的勒索软件行动那样,从事大规模的信息窃取或威胁公布受害者信息。我们认为,不泄露受害者信息的可能原因是,这会引起执法部门和公众的不必要关注。三。分配虽然最近邪恶公司的ttp中有许多事情发生了变化,但有一个非常显著的因素没有改变,那就是通过SocGholish伪更新框架进行的发布。这个框架仍然在使用,尽管它现在被用来直接分发定制的cobaltsteck加载程序,如4.1所述,而不是像过去几年那样使用Dridex。它最显著的特点之一就是