来自 CC防护 2021-02-13 21:48 的文章

ddos解决方案_公司_网站安全防护软件

ddos解决方案_公司_网站安全防护软件

Blue Mockingbird是一个我们观察到的类似活动集群的名称,这些活动包括在Windows系统上以动态链接库(DLL)形式挖掘有效负载的Monero加密货币。他们通过开发面向公众的web应用程序,特别是那些使用Telerik用户界面ASP.NET,然后是使用多种技术的执行和持久性(查看我的同事jessebrown的新博客,大规模DDoS攻击的最佳防御点,了解bluemockingbird的COR峎u PROFILER持久性机制的详细信息)。在至少一次事件中,ddos流量防御,cC防御源码,对手使用代理软件,并用不同种类的反弹壳有效载荷来连接外部系统。我们观察到的最早的蓝色知更鸟工具是在2019年12月创建的。获得进入权在至少两次事件响应(IR)项目中,Blue Mockingbird利用了面向公共的web应用程序(T1190:利用面向公共的应用程序),该应用程序为ASP.NET阿贾克斯。这套用户界面组件加速了web开发过程,但某些版本容易受到反序列化漏洞CVE-2019-18935的影响。这种CVE的开发并不是蓝知更鸟独有的,但它一直是一个共同的切入点。在利用此漏洞时,会将两个DLL上载到运行在Windows IIS web服务器上的web应用程序。在遥测中,免备案cc防御,调查人员会注意到w3wp.exe文件将DLL写入磁盘,ddos防御品牌,然后立即将其加载到内存中。在某些情况下,这将导致w3wp.exe文件暂时冻结并无法成功提供HTTP响应。为了诊断您是否受到Telerik CVE的潜在影响,您可以在IIS访问日志中搜索字符串POSTTelerik.Web.UI.网络资源.axd. 在受害者环境中,我们的IR合作伙伴发现了类似以下内容的条目: