来自 防护 2022-05-29 12:20 的文章

ddos防御攻击_海外行动高_限时优惠

ddos防御攻击_海外行动高_限时优惠

在梨形网络中发现了活动,尽管没有在任何CCleaner客户的PC上发现活动

在去年的CCleaner事件之后,我们继续调查发生了什么,ddos攻击能防御吗,并在今天的安全分析师峰会上分享了我们的最新见解。

回顾一下,2017年9月18日,20g每秒ddos防御,我们透露,防御cc策略,CCleaner已成为网络犯罪分子的目标,目的是通过CCleaner安装文件分发恶意软件。全球227万CCleaner客户下载了修改后的安装文件。2017年3月11日至7月4日,在Avast于2017年7月18日收购Piriform之前,该恶意软件被引入到开发CCleaner的公司Piriform的构建服务器中。

该恶意软件的第一阶段旨在从CCleaner用户收集非敏感信息,包括例如计算机名称,已安装软件的列表和正在运行的进程的列表。第一阶段包括下载功能,该功能用于将第二阶段二进制文件下载到受第一阶段感染的数百万台设备中的40台PC上,使其成为具有高度针对性的攻击。到目前为止,我们没有任何证据表明第三阶段二进制文件已下载到受影响的计算机上。然而,我们发现有证据表明,攻击的第三阶段可能是什么样子。

为了消除梨状肌网络的威胁,我们将梨状肌构建环境迁移到Avast基础设施,更换所有硬件,并将整个梨状肌杆移动到Avast内部IT系统上。我们整合并检查了梨状核的基础设施和计算机,并在这些基础设施和计算机上找到了第一阶段和第二阶段二进制文件的初步版本,我们发现了一个专门工具ShadowPad的证据,该工具被一个特定的网络犯罪集团使用,安装在四台梨形计算机上。

ShadowPad是一个网络攻击平台,网络犯罪分子将其部署在受害者网络中以获得远程控制能力,并在过去进行过分析。该工具于2017年4月12日安装在四台梨形计算机上,而第二阶段的初步版本已于2017年3月12日安装在计算机上。

第二阶段下载器的旧版本正在与CnC服务器联系,但在我们接触计算机时,服务器已不再运行,所以我们不能百分之百肯定地说他们应该下载什么。然而,考虑到事件的时间表,我们假设初级阶段2下载程序在四台梨状电脑上安装了ShadowPad。另一个让我们得出这个假设的线索是,ShadowPad被认为是高防游戏服务器租用黑客组织Axiom的产物,Axiom可能是CCleaner攻击背后的组织。Axiom和CCleaner攻击之间的联系首先由安全研究员Contin Raiu发现。

梨形电脑上的ShadowPad插件

我们还发现了ShadowPad日志文件,其中包含安装在电脑上的键盘记录器的加密击键。我们发现,键盘记录器的日志是用硬盘的卷ID加密的,因此能够解密按键。查看日志,我们发现键盘记录器自2017年4月12日起一直处于活动状态,记录这些计算机上的击键,包括Visual Studio和其他程序的键盘日志。记录的数据向我们表明,当时键盘记录器功能正常。ShadowPad工具的版本是定制的,这让我们认为它是专为梨状肌设计的。

梨状肌电脑上记录的击键

通过安装ShadowPad之类的工具,网络罪犯能够远程完全控制系统,同时收集目标计算机上操作的凭证和见解。除了键盘记录工具外,四台计算机上还安装了其他工具,服务程序能否防御ddos,高防打不死cdn推荐,包括密码窃取工具,以及能够在目标计算机上远程安装更多软件和插件的工具。

ShadowPad安装在梨形网络上,根据我们到今天为止的调查,我们可以看出,它没有安装在CCleaner客户的任何计算机上,但我们相信它是CCleaner客户的第三阶段。尽管多达227万CCleaner消费者和企业下载了受感染的CCleaner产品,但攻击者仅在高科技和电信公司运营的40台PC上安装了恶意第二阶段。我们没有通过CCleaner攻击分发的可能的第三阶段的示例,也不清楚攻击者是否打算攻击全部40台PC,或者只是少数几台或根本没有。我们将继续调查来自计算机的数据转储,并将在了解更多信息后尽快发布更新。