来自 CC防护 2021-04-30 22:14 的文章

高防ddos_200g高防服务器_超稳定

高防ddos_200g高防服务器_超稳定

今年早些时候,在与一位客户威胁分析师的讨论中,我们讨论了各种不同类型的解决方案在检测与攻击者的命令和控制服务器的新的秘密通信形式方面的能力。这段对话激发了我用一个特别狡猾的恶意软件对DG进行测试,我认为我的演示结果是值得的分享。最后这一年,使用基于社交媒体的渠道进行指挥和控制通信的恶意软件活动再次增加,比如俄罗斯的恶意软件Hammertoss使用Twitter。这并不是一个新现象;这种类型的频道在2009年左右首次出现,此后一直受到安全研究人员的密切关注(包括Lenny Zeltser关于这个主题的一系列深入分析文章)对民主党全国委员会的黑客攻击据信是由俄罗斯政府赞助的APT组织实施的。这些攻击的成功很大程度上归功于他们使用精心设计的网络钓鱼电子邮件来传递"XTunnel"恶意软件,该软件使用SMTP和POP3协议(以及其他协议)通过微软在其早期版本的安全情报报告中称为"STRONIUM"的功能,将C&C通信伪装成良性电子邮件流量。阅读了这些攻击之后,我又回到了我与这位客户的谈话,主题是如何最好地看穿C&C混淆技术这个客户特别关心的是加密的webmail服务的使用,ddos防御怎么关,香港高防cdn节点,作为命令和控制通道,更具体地说,是使用像Yahoo这样的web平台。该客户所指的恶意软件与病毒公告2014年8月报告的远程访问工具(RAT)类似。该特洛伊木马程序名为IcoScript,最早可追溯到2012年。由于大多数网络流量看起来像正常的最终用户活动,因此检测此类通信相当困难。因此,组织不能依赖于传统网络智能的检测;检测必须集中在恶意软件所在的端点运行。这里挑战就在于此。我们关注的恶意软件使用microsoftapi进程间通信和组件对象模型(COM)来建立通信通道。COM为任何应用程序提供了一种控制某些Windows应用程序的方法;特别是在我们的例子中,cc防御最好的服务器,internetexplorer。客户觉得这个恶意软件几乎不可能被检测到,所以我决定获取一个样本,看看Digital Guardian endpoint agent是否能够检测(并最终阻止)此活动。该恶意软件示例在用户的浏览器会话上使用了负载,并创建了一个隐藏的浏览器进程。然后,网络通信通过该会话过滤数据;恶意软件从不直接通信。这种技术为恶意软件提供了一个高水平的混淆,即使从传统的端点保护解决方案。在哪里是浏览器会话吗?首先,让我们具体看看一个恶意软件示例如何使用Internet Explorer。这个特殊的恶意软件伪装成adobeflashplayer欺骗用户下载并运行它。过程A3DUtility.exe文件在后台运行,直到用户打开Internet Explorer。一旦发生这种情况,在svchost环境下运行的进程树中将出现一组新的浏览器进程。这是过程中的样子浏览器:恶意软件通过发出对COM API的调用来实现这一点,而COM API又调用系统DcomLauncher服务。这些浏览器进程通过COM调用运行。结果是我们有了iexplore.exe"的父进程"svchost.exe-在命令行中使用-Embedded选项。我们可以通过观察过程的性质来证实这一点跑步:那怎么办数字卫士能用吗?其实还不错!提醒您,性价比高的全球高防cdn,Digital Guardian endpoint agent对主机上正在发生的事情具有独特的、低级别的可见性。这可以用来确定某些进程何时以不寻常的方式启动,例如DCOM中的嵌入式Internet Explorer环境。让我们来看看DG是如何捕捉这些事件的。First DG提醒我们,最近下载的可执行文件已由用户:一开始这个过程所做的就是通过命令行启动批处理脚本。批处理脚本依次创建并启动一个新的可执行文件,并重置原始文件的属性,以便在以下情况下可以在后台操作它必要:过程然后休眠。在这个测试中,下一个事件只在用户首次执行15分钟后发生。此时DG检测到iexplore.exe进程正在通过COM启动,并将其标记为"ATP3032-D-Hidden Launch of InternetExplorer via DCOM"。从那时起,ddos流量攻击防御成本,代理开始跟踪与特定Internet Explorer关联的所有活动过程:然后查看it部门与雅虎邮箱访问雅虎门户网站好像是其他用户一样。然而,从主人的角度来看,这是在后台发生的,没有看到任何可见的证据。从网络的角度来看,我们看到的只是用户与webmail服务的另一个连接。但是,考虑到前面的警报序列提供的上下文,我们可以将这个看似无害的流量标识为结论:不要忘记端点!最近提出的一个持续的主题是端点可以提供最完整的信息来检测和阻止恶意软件。这个例子再次表明,对于某些检测系统来说,看似正常的情况实际上可能比端点和webmail服务之间的简单网络流更复杂。通过考虑事件链和导致出站的上下文雅虎邮箱流量,我们可以以合理的置信度确定此活动是可疑的,并应用保护措施来阻止通信并最终包含/删除恶意软件。随着攻击者不断改进他们的方法,使得使用传统解决方案更难检测到攻击,安全团队应该将端点视为防止这些攻击成功所需的有价值的信息源。