来自 防护 2022-03-28 11:40 的文章

cc攻击防御_高防服务器原理_方法

cc攻击防御_高防服务器原理_方法

去年,Forcepoint Security Labs在博客中发布了Quant Loader–一种特洛伊木马下载程序,以前被用来分发Locky和Pony。

我们最近发现一个活跃的Quant Loader管理面板,托管在一个新注册的域上,该域还托管了许多其他恶意软件样本。乍一看,所有内容都很简单似乎一切如常,但一旦初步调查完成,就很明显添加了一些额外的"功能"…

Quant不是新的或非常新颖的恶意软件:去年,当它的创建者MrRaiX首次发布广告时,我们介绍了它的基本知识,并开始在野外出现。然而,ddos防御vps,对新获得的样本的分析很快揭示了与先前记录的基于定量的骆马和小马运动的一些差异,

根据实际有效负载从服务器下载到相同的服务器。所有这些示例和任务都是在等待从服务器下载到同一个dll后执行的sql.dll.c–一个良性的SQLite库,"zs.dll.c"依赖于它zs.dll.c–凭证窃取者

BS.dll.c是一个基于Borland Delphi的小型库,用于从受害者的计算机中提取几个不太流行的加密货币钱包-除了长期以来的头号嫌疑犯比特币之外。

它扫描用户的应用程序数据目录以查找支持的钱包,提取找到的信息,ddos攻击自动防御,并将其传输到C2服务器。根据我们检查的服务器上的实际数据判断——可能是由于一些更流行的货币不受支持的事实——此功能似乎并不特别有效。

目前支持的客户端和加密货币是:

比特币(BTC)——通过多位和Electrum钱包Terracoin(TRC)Peercoin/PPCoin(PPC)

作为另一个基于加密技术的应用程序,这一年的时间里,

都是基于加密技术的,密码扫描完成后,通过HTTP POST请求将提取的信息传输到服务器端的PHP页面。根据从C2服务器检索到的数据,凭证窃取功能在检索数据方面似乎比较成功。支持一系列常用的应用程序:

当Quant loader首次发布时,更换ip防御ddos,作者已经在开发(并在地下论坛上积极销售)这两款窃取软件。2017年初,似乎已经决定将它们作为软件包的一部分包含在Quant loader中,要么抬高价格,要么通过提供更多功能来证明其合理性。

这两个模块仍然单独出售:MBS可以单独购买,完全许可证价格为100美元,每次更新价格为15美元,而Z*Stealer则可以免费购买完全许可证价格为100美元,或基本许可证55美元,每次更新额外15美元。这与最近一则广告相比,该广告以275美元的价格提供了五个完整的Quant许可证。

而盗取凭证和各种加密货币钱包现在作为默认配置启用,该面板仍然允许用户禁用这些模块的分发和/或创建额外的自定义任务,以便在受害者机器上部署更多恶意软件。

分析上述组件后,我们比较了来自多个不同C2服务器的二进制文件。

结果与我们最初的预期略有不同,ddos防御不是不要,至少就DLL模块而言:虽然SQLite库始终是一致的-似乎没有什么实际的理由来更新它-我们希望MBS和Z*Stealer组件能够得到更频繁的更新,反映MrRaiX在地下论坛上的活动。

比较这些模块的不同构建,有意义的更新似乎只会在很长一段时间内发生一次,通常每两到八周对代码库进行一次轻微修改,以吸引新买家,因为某些东西正在"积极"开发中。

更新主加载器可执行文件似乎需要更多的努力。然而,对这一功能的补充仍然是相对基本的功能,例如包括一个长时间的sleep命令以避免沙盒环境(这是一个现在被大多数现代沙盒绕过的老把戏)以及通过其注册表项对许多产品进行防病毒检测:

​卡巴斯基互联网安全–HKLM\SOFTWARE\KasperskyLab\LicStrg,kis熊猫防火墙-HKLM\SOFTWARE\Panda SOFTWARE\Setup,FirewallNameNorton Security-HKLM\SOFTWARE\Classes\Applications\NS.exe,TaskbarGroupIconDr.Web防火墙-HKLM\SYSTEM\ControlSet001\services\DrWebLwf,DisplayNameBitdefender-HKLM\SOFTWARE\Bitdefender Agent\Install,ddos防御瓶颈,InstallPathBullGuard-HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\App Path\BullGuard.exe,默认值

较新版本也使用UAC旁路技巧,使用未记录的"runas"标志调用ShellExecuteEx。在某些UAC设置下,这将导致恶意软件以提升的权限运行,而不会出现UAC提示。这在2016年9月检查的样本中不存在,但在不久之后引入,可能是广告材料中称为"特权升级"的功能。

Forcepoint客户在以下攻击阶段受到保护,免受此威胁:

第5阶段(滴管文件)-阻止下载Quant Loader和相关恶意软件文件第6阶段(呼叫总部)-Quant Loader联系其C2服务器的尝试被阻止。

如今,您不必在黑暗市场上提供利基产品或技术非常强大的产品,只需提供一个适合不断扩大的市场的产品。Quant Loader在这些条件下具备资格,并展示了一个示例,展示了一个拥有普通技能、有点渴望并愿意每隔几周提交更新的人如何在保持有限个人资料的情况下多年赚钱。