来自 防护 2021-09-08 05:23 的文章

防cc攻击_cdn防护多少钱_原理

防cc攻击_cdn防护多少钱_原理

上周,Pandalabs收到了一个关于一个勒索软件家族的问题,这个勒索软件使用的是微软的PowerShell工具,它已经被网络犯罪分子滥用了一段时间。我们时不时会遇到这些问题,我们觉得这些问题很有趣,因为我们认为自己是阻止勒索软件攻击的最佳人选。但老实说,我必须承认,我们并没有像我们应该写的那么多,我们并没有把我们所有的发现与社区分享,这就是为什么我们决定从现在起定期在这个"勒索的故事"系列。它是通过一个附加了Word文档的钓鱼电子邮件发送的我们被问到的具体勒索软件对我们来说听起来像是旧消息,事实上,我们来自炭黑的同事早在三月份就写过。攻击流程很容易跟踪:它是通过一个附有Word文档的钓鱼电子邮件来的。一旦打开,便宜的ddos防御,文档中的宏将运行命令行.exe要执行PowerShell,首先从Internet下载脚本,然后使用下载的脚本作为输入再次运行PowerShell,组建高防cdn,以执行勒索软件任务。这个以炭黑命名的Powerware是我们看到的又一个勒索数千人的勒索软件。我们已经注意到99%的家庭攻击被阻止了吗尽管我不得不承认,对于一些安全公司来说,这个家族比其他公司更具挑战性。为什么?好吧,很多这些"下一代AV"或者他们自己叫什么,都非常依赖于签名(等等,他们不是声称不使用签名的吗?!)同时,它们在外围的存在比在终点处更强。正如您所想象的,运营商防ddos防御方法,在外围阻止Word文档并不是很方便。一旦他们感染了一些客户,他们就可以添加签名并保护其他用户(比如阻止下载脚本的IP地址),尽管缺乏从互联网下载的恶意软件对他们来说是一场噩梦。归根结底,勒索软件对网络犯罪者来说是一个地狱般的生意,因此,他们投入大量资源寻找新的方法,不被各种安全解决方案发现,而这个Powerware只是一个例子。一般的行为不会改变,研究DDOS防御的外国学者,但至少每周都会有细微的变化。这些更改可以应用于勒索软件本身(它如何执行其操作)或交付(使用新的漏洞利用、更改已知的漏洞利用、更改漏洞利用的有效负载等)新交付方法的一个很好的例子是我们最近看到的一个:在开发了internetexplorer之后,使用"echo"特性执行CMD来创建脚本。然后执行多个Windows文件以执行所有操作,成功防御ddos,以避免安全解决方案检测到可疑行为。脚本由wscript运行,它下载一个dll,然后使用CMD运行regsvr32,后者将执行dll(使用rundll32)。在大多数情况下,DLL是勒索软件,到目前为止,我们已经阻止了使用这个新技巧的+500次感染尝试。到目前为止,我们已经用这个新技巧阻止了500次感染尝试我们还没有看到使用的漏洞(只要我们阻止它,我们真的不在乎太多),但是考虑到这种感染尝试出现的时间范围(第一次是6月27日),它发生在AnglerEK已经消失的时候,所以攻击者可能使用中微子或震级。至少我们每个月都会有新的研究结果,或者我们不会再看到新的信息。为了弥补这一点,我列出了我们在野外采集的超过500次感染尝试的所有DLL的MD5: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