来自 防护 2022-05-19 11:10 的文章

cc防御_韩国高防服务器租用_解决方案

cc防御_韩国高防服务器租用_解决方案

Kavo-一个永恒的故事?

再次您好,这次我想介绍一个成功的恶意软件家族的故事。为什么成功?因为它在一段时间前建立了一种新的传播方式,美国ddos防御,主要是因为它在我们对野外检测到的恶意软件的统计中总是得分很高。卡沃是什么?它是从恶意软件家族(kavo0.dll、kavo1.dll等)使用的某些二进制文件的文件名派生而来的名称。恶意软件家族以不同的名称而闻名,如Oliga、Kavos、Kamso、OnLineGames、Taterf等。好吧,让我们开始Kavo的故事。我们必须追溯到两年前,才能看到Kavo作者第一次试图提高他的在线游戏密码窃取者的地位。这与rootkit变得相当流行的时间大致相同。因此,作者编写了一个rootkit和一个用户模式二进制文件,旨在删除rootkit并对系统进行一些额外的更改(将在后面描述)。他还编写/购买了第一个模糊器来保护二进制文件并携带服务器端多态性。太好了,有效载荷准备好了-现在,如何展开它?最有效的方法可能是利用操作系统的弱点。卡沃的作者决定自动运行。默认情况下,此功能在所有驱动器上都已启用(顺便说一句:我永远无法理解为什么要使用默认操作系统设置从HDD或笔驱动器自动运行任何内容),所以为什么不滥用它呢?这种方式证明了它的有效性,大量的计算机通过笔驱动器交换(朋友之间的借用,将它们插入网吧中的不同计算机等)很快被感染。Kavo是第一个使用这种方式大规模传播的恶意软件家族(Conficker、Virut和其他一些人后来也使用了同样的方式)。糟糕的是,哪里有免费高防cdn,现在这种传播方式也比较成功。

在开始阶段之后,作者决定改变模糊器(在整个Kavo生命周期中,cc如何防御,这已经做了五次),并加强rootkit和系统之间的凝聚力。Kavo的稳定时代没有带来重大的功能变化。该功能在最近的变体中也保持相对不变。那么这个恶意软件家族做了什么?

对用于更新已知感染和收集被盗数据的服务器基础设施的分析总是让我感到惊讶。似乎只有几台电脑可以处理成千上万的受害者。事实上,集群部署防御ddos,服务器一直都很忙(有时甚至完全过载),更新的下载速度很低(有时下载没有完成)。当我写到这个恶意软件家族是成功的时,我没有考虑到这个活动可能带来的收益(他们很难猜测)。我只考虑了上升和当前运行的生命周期,根据条件,这是一个成功。让我们注意到

这就是卡沃故事的当前阶段。接下来呢?不幸的是,我认为目前的活动仍然足以维持生命。我绝对不能期望,作者会被追踪,被囚禁,他的所有基础设施都会被摧毁。你怎么认为?这个故事会有(快乐的)结局吗?对我们来说,ddoscc攻击防御,结论是——时刻保持警惕,观察卡沃作者所做的步骤——这是一场典型的猫捉老鼠的游戏。