来自 CC防护 2021-01-20 18:44 的文章

免备案防cc_游戏_ddos防护流量

免备案防cc_游戏_ddos防护流量

自签名证书名声不好,通常被认为是不安全的,但大多数人没有意识到合法的用例确实存在。例如,每个证书链中的根证书都是由证书颁发机构自签名和颁发的。证书颁发机构(CA)是一个受信任的实体,它根据特定的使用情况颁发数字证书,从代码签名到加密internet流量(SSL)。较大的组织有时充当自己的证书颁发机构,并为内部使用颁发SSL证书。这主要是因为它是免费的,而且组织认为它没有任何问题。由于这些证书不受常见web浏览器的信任,因此将显示有效性警告,除非将证书手动添加到浏览器的信任存储区。但是,如果发生中间人(MITM)攻击,将显示相同的警告,国外cc防御,用户将无法看到区别。因此,自签名证书是否可以在这样的环境中提供任何类型的完整性检查是有争议的。除了SSL证书和MITM攻击外,代码签名证书还被滥用来对恶意软件进行数字签名,希望绕过防病毒引擎。对于大多数用户来说,数字签名文件似乎更安全,这使得他们更有可能运行此类文件,尤其是在证书信息似乎合法的情况下。这就是为什么,启用ddos攻击防御什么意思,为了使签名的可执行文件更真实,攻击者开始通过复制大公司证书(如Google和Microsoft)来模仿它们的通用名、序列号、有效日期、扩展字段等。当第三方试图模仿其他众所周知的证书并使用它们对自己的软件进行数字签名时,会发生证书模拟。使用OpenSSL这样的软件可以轻松地构建模拟证书,而且整个过程甚至可以自动化。这样做的目的是欺骗用户,让他们认为他们运行的是来自被冒充公司的合法应用程序。图1)显示了两个"用户帐户控制"(UAC)警告。为了保护用户免受此类应用程序的攻击,Windows将显示UAC警告,在用户实际运行文件之前通知他们文件的签名。请记住,用户可以禁用这些警告,而且大多数都会禁用,以避免一直被警告"惹恼"。蓝色UAC警告对话框表示Windows信任发布服务器。黄色的UAC警告对话框通知用户该签名不被Windows明确信任。这足以让人怀疑签名可能是假的。可以在文件属性对话框的"数字签名"选项卡中查看其他详细信息。通用视图将显示有关数字签名的详细验证消息。图1)-Windows上的用户帐户控制警告对话框图2)显示了Google合法证书和模拟证书的并排比较。虽然模拟证书具有从原始证书复制的所有信息,但根证书无法使用其公钥验证证书,因为为模拟证书生成的密钥对不同。这是唯一不能伪造的信息,也是真正检查证书是否由CA颁发的唯一方法。图2)-"属性>数字签名"选项卡另一方面,ddos产品可防御,ReversingLabs钛平台将根据证书的属性对证书进行分类。正如我们之前的一篇"构建安全的证书白名单"博客文章中所提到的,证书被验证并分配给许多可能的状态之一,例如"自签名"、"冒充"、"伪造"等等。然后,可以根据证书的内容进一步细化一些验证状态。例如,自签名证书是由同一实体签名的证书,该实体的身份被它所证明。如果使用者名称与白名单中的条目匹配,ddos防御的gitc2016,它将被标记为模拟。此外,如果整条链都是伪造的,就被标记为伪造。在ReversingLabs,我们持续监控我们的证书源是否有异常。证书提要是一个客户可访问的API,它包含有关踏入我们环境的所有签名文件的信息。这些丰富的信息使我们能够通过反病毒扫描程序发现一个检测率低的样本,该样本是用模拟证书签名的。图3)-钛平台A1000检测证书模拟在我们进入样品分析之前,值得一提的是,这些样品也可以通过钛平台找到。它的高级搜索功能允许我们通过组合不同的标记关键字来查询元数据。搜索单个关键字-标记:cert impersonate"—将返回满足证书模拟条件的所有示例。在搜索查询中添加更多的关键字将返回更精确的结果,使我们能够找到不属于恶意的样本,但这些样本假装是用大型科技公司的证书签名的。这些样品引起了怀疑,局域网ddos防御,应该更仔细地检查。在我们的例子中,对从搜索中检索到的可疑文件集进行了分析,最终发现了一个.NET可执行文件,它试图从远程位置下载并执行文件。图4)-搜索关键字示例图5)-可疑的.NET示例更详细地说,在打开FTP连接(1)之前,示例首先"休眠"两秒钟。有趣的是,FTP凭证是硬编码成二进制的,没有任何混淆(2)。它试图下载一个名为flash.exe并保存到"C:\Users\Public"\flash.exe"(3)。下载第二阶段有效负载后,示例将尝试执行它(4)。不管执行是否成功,作为最后一步,将打开一个消息框,显示一个"error":"error installer.net4.5 is not installed."(5)。不幸的是,当我们进行手动分析时,服务器不再在线,这使得第二阶段的有效负载无法用于分析。图6)-恶意.NET示例同样的示例也出现在我们的证书提要API中,它提供了与证书相关的实时数据。这允许ReversingLabs为使用模拟证书签名的新示例设置连续监视,等等。多亏了API提供的丰富数据集,我们还能够捕获整个证书链欺骗的示例。我们将在接下来的博客文章中更详细地介绍这些示例。