来自 防护 2022-03-29 10:20 的文章

海外高防_海外高防服务器哪家好_解决方案

海外高防_海外高防服务器哪家好_解决方案

Websense®安全实验室™ 在攻击西方政府网站的幌子下,他遇到了一场有趣的运动,目标是俄罗斯国民,试图诱使他们下载并在电脑上运行可执行文件。这是一种众包行为,旨在报复(乌克兰冲突后)对俄罗斯实施制裁的政府。事实上,不幸受害者的机器成为了Kelihos垃圾邮件僵尸网络的牺牲品。

Kelihos(又称Hlux)是一个长期运行的特洛伊木马/机器人/后门系列,具有不同的变体,例如:

发送垃圾邮件嗅探敏感信息,如不同协议的密码窃取比特币钱包内容比特币开采通过后门进入受害者的电脑参与DDoS(分布式拒绝服务)攻击下载其他恶意软件

多年来,已经有好几次尝试摧毁僵尸网络,但似乎Kelihos背后的网络犯罪分子正在试图复兴和扩展僵尸网络。

在主题事件之后,诱饵是我们过去看到的分发Kelihos的一种技术,这类例子是2013年的两次大型活动,利用受害者的工具包来攻击他们的电脑。这反过来又导致了一系列的股票"打压和抛售"活动,以获取经济收益。

看看Websense®ThreatSeeker®智能云对与Kelihos相关的特定类型网页的总点击量的遥测,我们可以看出网络犯罪分子可能试图扩张的原因:

我们看到,在2014年4月左右的一个大高峰之后,最近几个月似乎有所下降,2014年8月逐渐上升。这可能是扩张努力的开始。

这起案件的不同之处在于,网络罪犯没有唤起受害者的好奇心,运营商怎么防御DDOS,而是诉诸爱国主义情绪(详见下文分析),明目张胆地说他们将在目标计算机上运行恶意软件,但没有透露恶意软件的真实性质。

我们在此次活动中分析的变种似乎具有垃圾邮件和嗅探功能;初步分析期间未观察到DDoS行为。即便如此,允许其基础设施运行此类恶意软件的企业可能会受到重大损害(例如黑名单)。

我们的高级分类引擎ACE保护Websense客户免受此威胁,在七阶段流程中的以下阶段*:

第2阶段(诱惑)-ACE检测电子邮件诱惑中的URL,Websense电子邮件安全产品阻止电子邮件诱惑。阶段5(滴管文件)-ACE检测到与此攻击相关的二进制文件。第6阶段(呼叫总部)-阻止与相关指挥与控制(C2)服务器的通信。

*请注意,本活动未使用第3和第4阶段,win2008防御cc次略,详情如下。

分析

本活动于2014年8月20日开始,asa防御ddos攻击,包括电子邮件,例如:

主题和正文各不相同,但主题类似。以下是(谷歌)对上述文本的翻译:

主题:帮助他们的祖国

我们,来自俄罗斯的程序员社区,对美国对俄罗斯实施的不合理制裁感到兴奋。我们已经创建了您的答案,然后您将找到我们编写的程序的链接。在您的计算机上打开它,它将开始秘密攻击实施这些制裁的国家的政府网站。该程序以静默方式运行,消耗的在线频道不超过5%,每天流量不超过20MB,几乎不需要处理能力。重新启动后,计算机程序完成其工作,如果您愿意,您可以手动再次运行它。

一起,我们-电源!

链接到文件:hxxp://80.234.23.118/setup.exe 备用链接:hxxp://176.36.131.68/setup.exe

正如我们所提到的,文本各不相同,一些消息带有"有用提示",可以在运行可执行文件时禁用AV。

2014年8月20日至8月21日期间,ddos流量攻击防御办法,Websense云电子邮件安全已主动阻止了100多个,本次活动中的1000条恶意消息,全部被发送到收件人地址,并带有.ru TLD.

这些是我们观察到的主题:

由于本次活动试图吸引潜在的网络斗士,因此没有必要掩盖一个事实,即受害者的计算机上会运行一个可执行文件;因此,这些消息包含带有直接下载链接的URL,例如:

这些位置上承载的文件会发生变化,以避免AV检测。

在攻击发生时,AV检测率较低:

一个示例中为7/53,另一个示例中为3/53。

下面是一个示例Websense Threatscope™ 此攻击中丢弃文件的沙箱报告

Kelihos使用Winpcap驱动程序监视连接并嗅探来自不同协议的密码,主要针对SMTP,以便邮件可能从看似合法的电子邮件地址发送。

在受害者的计算机上运行时,bot通过TCP与指挥与控制(C2)基础设施联系,然后向C2 URL(托管在俄罗斯和乌克兰)发送加密GET请求,例如:

下载配置的位置:

此外,不久后,bot会从URL获取指向垃圾邮件的内容/链接列表,例如:

,bot对邮件服务器进行DNS查询:

并开始发送电子邮件,在这种情况下,与之前观察到的相同(要求下载可执行文件):

摘要

在本博客中,我们看到网络罪犯试图在长期运行的bot网络背后扩展和恢复其操作,经过一段时间的相对停滞。利用民族自豪感将受害者用于另一个邪恶目的的策略有些独特:这场运动背后的罪犯并没有掩盖他们指向恶意软件的事实,cc防御一个页面,只是"没有提到"运行它的直接结果是加入垃圾邮件僵尸网络。由于滴管文件发生变化,因此使用具有DDoS功能的变体并非不可能,但尽管如此,企业应确保使用全面的安全解决方案(包括入站和出站保护)保护自己免受任何此类恶意软件的攻击。

贡献者:Ran Mosessco、Nick Griffin、Brandon Laux