来自 CC防护 2021-05-02 11:11 的文章

ddos防御_cdn能防御ddos吗_方法

ddos防御_cdn能防御ddos吗_方法

使用JsOutProx RAT对印度政府和金融机构进行有针对性的攻击针对特定国家或地区的网络犯罪并不少见。他们经常采用这种策略2020年4月,ThreatLabZ观察到印度政府机构和银行业遭到数起有针对性的袭击事件。向印度储备银行(RBI)、IDBI银行、印度国家农业和农村发展银行(NABARD)内的再融资部(DOR)等组织发送了电子邮件,我的世界ddos防御,其中包含JavaScript和基于Java的后门的存档文件附件。通过对基于JavaScript的后门的进一步分析,我们将其与JsOutProx RAT关联起来,正如Yoroi所提到的,2019年12月,威胁参与者首次使用了它。在这次攻击中,基于Java的RAT提供了类似于基于JavaScript的后门的功能。在这个博客中,我们详细描述了这次有针对性的活动的电子邮件攻击向量,对发现的后门的技术分析,以及我们对这次攻击的结论。 电子邮件分析以下是发给纳巴德政府官员的电子邮件,服务器cc防御软件,其中包含一个恶意的存档文件附件。 图1:向NABARD发送带有恶意附件的电子邮件。电子邮件附件文件名为:KCC_Saturation_letter_to_all_StCBs_RRBs_pdf.zip文件此存档文件中包含执行恶意活动的HTA文件。HTA文件的MD5哈希为:23b32dce9e3a7c1af4534fe9cf7f461e这封邮件的主题与KCC饱和有关,这与Kisan信用卡计划有关,免费防御ddos,详见NABARD官方网站。攻击者利用了这个主题,因为它与再融资部有关,使这封电子邮件看起来更合法。我们用邮件头追踪来源招待所.pl,它是波兰的托管提供商,如下所示:X-Auth-ID:syeds@rockwell internationalschool.com收到:smtp10。继电器iad3b.电子邮件srvr.com(认证发件人:罗克韦尔的赛义德linternationalschool.com网站)具有ESMTPSA id 0928BE00BD;2020年4月20日,星期一21:33:53-0400(美国东部时间)X-Sender-Id:syeds@rockwell internationalschool.com接收:来自WINDEB0UPGVCUK(未使用-31-133-6-113。招待所.pl[31.133.6.113])(使用TLSv1.2和DHE-RSA-AES256-GCM-SHA384)0.0.0.0:465(trex/5.7.12);2020年4月21日星期一至40:40同一个HTML应用程序(HTA)文件也以存档附件的形式发送到IDBI银行,如图2所示。图2:发送到IDBI银行的带有恶意附件的电子邮件。根据邮件头和用于发送先前电子邮件的基础设施,我们能够识别出更多此类攻击的实例,并能够将其归因于同一个威胁参与者。图3显示了一封发送给RBI的电子邮件,ddos防御国外,其中包含一个基于Java的后门文件。图3:向RBI发送的带有恶意附件的电子邮件。图4显示了一封电子邮件,该电子邮件使用基于Java的后门向印度农业保险公司(AIC)发送存档文件。 图4:发送到AIC India的带有恶意附件的电子邮件。电子邮件的内容是印地语。在上述两种情况下,基于Java的后门具有相同的哈希值,只有使用的文件名不同。JAR文件的哈希为:0ac306c29fde5e710ae5d022d78769f6 JsOutProx技术分析HTA文件的MD5哈希为:23b32dce9e3a7c1af4534fe9cf7f461e执行后,HTA文件会在自动关闭前在屏幕上快速闪烁的窗口中显示垃圾数据。这个HTA文件包含一个由mshta执行的JavaScript,如图5中的文件头所示。图5:文件中的HTA头。在JavaScript的开头有一个很长的编码字符串数组,如图6所示。图6:编码字符串的长数组。这个字符串数组将在整个JavaScript中被引用。它们在执行时被base64解码,RC4在运行时解密。这个HTA文件中的JavaScript代码被严重混淆,如图7所示。图7:严重混淆的JavaScript代码。字符串解码和解密例程如图8所示。图8:字符串解码和解密例程。在分析了字符串解密程序之后,我们可以看到使用了RC4算法。字符串解密过程可概括为以下步骤:字符串解密例程通过调用调用调用,例如:b('0x4','qP52')。第一个参数是在JavaScript开头声明的长数组中编码字符串的索引。第二个参数是RC4解密密钥。使用atob()JavaScript函数对字符串进行base64解码。使用for循环生成一个S-box来生成序列:0x0到0x100。S-box使用解密密钥进行置换。置换S盒用于对加密字符串执行异或解密。在解密这个JavaScript中的所有字符串之后,我们可以看到如图9所示的主配置。图9:JsOutProx后门的主配置文件。上述配置文件中的一些关键参数包括:这是BaseURL:BaseURL。在这种情况下,它使用动态DNS(*。ddns.net网站)和一个非标准端口。分隔符:这是在过滤有关系统的信息时将使用的分隔符。休眠时间:执行需要延迟的持续时间。延迟:类似于SleepTime参数。标记:这是一个唯一的指示符,在渗出期间附加到数据中。在这个例子中,标签是:更大。这个基于JavaScript的后门第一次被发现是在2019年12月,这个标签的值是:JsOutProx。IDPrefix:这个参数对应于初始化时后门发送到C2服务器的httppost请求中设置的Cookie名称。RunSubKey:这是将用于计算机上持久性的Windows注册表项。该脚本检查它是由mshta、wscript还是由ASP服务器执行,如图10所示。图10:检查执行源。这也表明该脚本能够在不同的环境中执行,包括web服务器。2019年12月发现的第一个JsOutProx实例是一个JavaScript文件。我们在2020年4月发现的实例是一个HTA文件,JavaScript代码被模糊处理并嵌入其中。所以我们观察到这个威胁参与者在野外使用不同的方法部署后门。该脚本还可以延迟执行,如图11所示。图11:延迟执行。init()例程是初始化例程,它从系统收集不同类型的信息,并通过HTTPPOST请求将其发送到C2服务器,如图12所示。图12:主初始化例程。init()例程期间收集的各个字段包括:卷序列号:通过检查卷序列号字段,使用WMI查询"select*from win32_logicaldisk"获取卷序列号。UUID:这是使用脚本中的getUUID函数随机生成的。使用的UUID格式为:xxxxxxxx-xxxx-4xxx-yxxx-xxxxxxxxxxxx计算机名:计算机的主机名。用户名:执行此脚本的计算机的用户名。OS caption:通过检查caption字段,使用WMI查询"select*from win32_operatingsystem"获取此值。操作系统版本:此信息也使用类似于OS caption的WMI查询收集。Tag:这是在后门配置中定义的标记。在我们的例子中,标签更广泛。最后一个关键字是"ping",它是由receive()方法添加的。所有这些值由分隔符"| | |"分隔并连接,然后用十六进制编码并设置在发送到C2服务器的HTTP POST请求的名为"_-giks"的Cookie头中,如图13所示。图13:发送到C2服务器的第一个HTTPPOST请求。后门和C2服务器之间的命令和控制通信使用HTTP请求和响应中的Cookie进行同步。cookie中的最后一个字段指示客户机命令的类型。例如,如果cookie是:Cookie:\u-giks=4646464646465F7C5F653632613936233322D323434352D3466166612D3933233622D38366535303065303665655F7C5F486F73616D655F7C5F41646D696E6973746F725F7C5F566525F7C5F566525F7C5F5657273696F6E5F75C5F566173673696F6E5C5F5661737465725F7CF70696E67然后可以将client命令标识为:对cookie进行十六进制解码以获得:FFFFFFFF | ue62a9b32-2445-4afa-923b-86e500e066ee_124;u主机名_124;|u管理员_124;u OS_Name|u Version_124;|u Vaster|u ping使用分隔符拆分解码的内容:"| | ||"以获取:['FFFFFFFF','e62a9b32-2445-4afa-923b-86e500e066ee','Hostname',个人防御ddos,'Administrator','OS\u Name','Version','Vaster','ping']从上面的列表中提取最后一个字段。在本例中,命令是:ping。图14显示了处理所有命令的代码中的主子程序。图14:JsOutProx中的C2命令处理程序子例程。下表列出了命令的说明。 命令说明upd公司下载并执行脚本。rst公司重新启动脚本。l32类似于rst命令。dcn公司退出执行。彩铃重新启动系统。shd公司关闭系统。lgf公司关闭系统。ejs公司使用eval()执行服务器发送的JavaScript。执行副总裁使用ActiveXObject执行服务器发送的VBScript。uis公司卸载后门。ins公司安装后门。金融机构调用文件插件。做调用下载插件。服务提供商