来自 CC防护 2021-05-02 22:20 的文章

高防御cdn_cc防护是什么意思_超高防御

高防御cdn_cc防护是什么意思_超高防御

日落编年史-观察开发工具包的演变自从钓鱼者和核武器开发工具明显死亡以来,我们已经看到其他群体的活动增加。虽然RIG和Neutrino一直是钓鱼者和Nuclear留下的空白中的主要参与者,Sundown也一直很活跃,并在提高其在exploit kit市场的份额方面取得了长足的进步。我们之前在1月份分析了Sundown,虽然它仍然是一个比其他EKs复杂得多的工具包,但它的开发人员正在迅速开发该工具包的功能。最近,我们在exploit kit中看到了一系列迭代改进,类似于我们在1月份观察到的行为。在本次分析中,我们将不详细介绍Sundown EK的组成部分,因为我们在上一篇文章中已经讨论过了,但我们将重点介绍过去一个月最有趣的观察结果。有关Sundown截至6月30日的结构,请参阅此处。2016年6月15日在2016年6月15日发布的Sundown PCAP中,登录页是各种风格的混合体,其中有一部分似乎是从4-5月左右看到的钻机登录页直接撕下的。这一部分实际上引起了一些混乱,ddos防御是什么意思,因为我们看到这个版本的登录页错误地标记为RIG。图1-被盗的装备代码除了被盗的装备代码外,高防cdn哪个好,Sundown登陆页面还提供了一个base64编码的块来利用Flash(虽然Flash版本检测代码和触发器是未编码的),ddos系列ddos攻击防御,第二个更大的base64编码块来利用Flash(没有外部触发代码),一个有趣的VBScript有效负载,它试图通过wscript.exe,以及用于GodMode漏洞的极少量编码的VBScript有效负载,封装在JavaScript块中。图2-用JavaScript包装的VBScript 2016-06-27在查看Sundown活动时,我们发现该活动仍然处于活动状态,但是登录页的结构发生了足够的变化,以避开我们之前的签名。此时,Sundown放弃了RIG-ripoff策略,几乎把所有的东西都塞进了base64编码的块中,并添加了大量的标记。图3-新的Sundown登录页面在左侧,旧页面在右侧,由于某种原因,一个完全未编码的Flash对象保留在登录页上,其中包含了一个名为"exec"的FlashVar中的漂亮外壳代码负载!外壳代码相当基本,使用urlmon.dll获取恶意软件有效负载。图4-Shellcode从突出显示的URL下载恶意软件负载2016-06-30继续密切监视,虽然没有对登录页面进行任何显著的更改,但我们使用一个旧的虚拟机进行了一些测试,产生了一个有趣的结果。我们做了进一步的测试,发现声称是internetexplorer6的用户代理导致了一个基本PHP后端被转储到浏览器中。这个未覆盖的后端显示了一些静态对象的构造,这些对象服务于登录页,padavan如何防御ddos,以及基于简单但有缺陷的IE版本检查结果的switch语句。IE检查使后端在两个不同的有效负载之间进行选择。图5-2016-07-01登陆页响应中转储的PHP后端代码进入我们美国办公室的长周末,我们想密切关注Sundown,并注意到一些新的变化。首先,登录页的结构发生了变化,代码大小出现了很大的膨胀。登录页多次使用JavaScript string replace函数将膨胀的登录页数据转换回要用unescape函数解码的百分比转义值。图7-字符串替换调用用数字替换字符串除了登录页膨胀之外,我们还开始看到一个名为NetWire或NetWiredRC的RAT的交付。由于CIRCL、Malwaremmustdie和其他公司进行了全面的分析和文档记录,识别工作非常容易。不过,这与多个NetWire版本中的多个字符串似乎有点关联。之前有人指出,RAT使用76路switch语句解析来自服务器的命令,而Sundown提供的示例提供了82种情况。图9-命令解析开关逻辑的IDA图RAT被配置为与端口8980上的86t7b9br9.ddns[.]net(解析为62.210.14[.]117)通信,但在分析时服务器拒绝连接。图10-C&C主机名解析但拒绝连接尝试2016-07-05再次检查Sundown时,我们发现与7月1日看到的登录页相比有一些小的变化。在登录页上使用了相同的膨胀策略,但登录页却少了几百千字节,这在很大程度上是由于删除了许多来自HTML的CRLFs。图11-Sundown的登陆页面在没有CRLF的情况下开始看起来被压扁了。我们注意到在这一点上,有效负载发生了一个非常有趣的变化:漏洞利用工具包实际上提供了PuTTY版本0.66的未经修改的副本。访问感染网站,收到腻子!我们认为如果它不太可能是一个简单的测试负载,这实际上是有用的。图12-油灰是新的计算方法?由于没有有趣的有效载荷可供调查,我们决定对基础设施进行一些检查。我们去寻找后端管理面板,但是我们找到了一个不错的启动页面。当浏览没有参数的登录页URL时,一个带有meta标记的简单HTML页面,它意味着从base64编码的数据标记加载另一个HTML页面。图13-matryoshka启动页面的meta标记发现HTML实际上没有正确加载(在这种情况下,meta refresh指令不起作用),但是由于实际的启动页面包含在前面提到的数据参数中,所以我们对base64 blob进行了解码。这是另一个HTML页面,这次数据:图像对象对于背景和前景图像,前景图像显示"南斯拉夫商业网络"的徽标。日落真的是YBN的工作吗?这个受到俄罗斯商业网络启发的团队可能对Sundown负责,也可能不负责,但似乎确实有一个德语团队在论坛上以YBN的名字提供编码服务,许多评论人士都对这些服务表示满意。图15-每个人都喜欢一个好的logo,无论是白帽信息安全产业还是地下黑帽论坛2016-07-06再次查看Sundown,我们发现登录页面有更多的变化。这一次,对登录页本身的更改主要包括一些小的结构更改,但是编码块的功能以一种有趣的方式改变了。它不是一个独立的登录页,而是从服务器获取额外的javascript有效负载。登录页和辅助有效载荷都使用了上述相同的编码/膨胀技术。以前的单文件登录页最初在20k到100k之间,然后是几兆字节,我们开始看到javascript有效负载支持12k的主登录页,大小不同:大约300kB、1.5mB和4mB。图16-登录页本身已经缩小,但是现在除了新模块化的登录页之外,还有大量的二级JavaScript有效负载,我们还发现Sundown的PuTTY服务被关闭,以便再次为实际的恶意软件传递让路,cc流量攻击防御,NetWire又回到了该方。2016-07-07我们发现了一个新的恶意软件负载:一个版本的kaside,它在HTTP回调中添加了base64编码层。与我们之前的分析相比,这是一个新的行为,我们报告说它被恶意垃圾邮件丢弃了。试图回调hhggffppgttt[.]ru(分析时解析为185.127.25.173),包括提交屏幕截图。聪明的是,C&C服务器的响应带有404个状态代码,但是404页包含了base64编码的HTML注释中的响应。图17-卡西德的命令和反应很容易被解码结论,因为两个顶级的开发工具包,钓鱼者和核,其他套件将争夺市场份额。Sundown在技术上仍然不如其他公司复杂,但正如我们在本次分析中所概述的,Sundown的作者肯定会继续对他们的代码进行快速更新。Zscaler ThreatLabZ将继续监控情况,以确保Zscaler客户得到保护,并提供相关更新。IOC利用有效载荷E785F04EA98CBF3E42C46417E7DD7925 226EE49F76023A29DD40D25675C37743 9A9FFCE2F4462C2751FA5D76E180979C EXE有效载荷3bb6eba8ea26a293a238ba98a6731238 78df54a2465fcd2c01fa14ab72d8cdfb BCB80B5925EAD2467CA423B635 af8b13866833c76b93a0d7b114c2671d 33C9D1E5652E21237E9C5B01671E45138866833C76B93A0D7B134C2671D在分析过程中发现的领域EWFIWFFIWFFIWFWFWFWFWFWFWFWFWFWFWFWFWFWFWFWFWFWFWFWFWFFIWFWFWFWFWFWFWFWFWFWFWFWFWFWFWFWFWFWFWFWFWFWFFffwfffwfffwfffwfffffwffffjkklfjkkldfjkldfjkldfjkldfjkklfjkkkl[.]xyz DashpsdfoiHPidfadKig[.]xyz dsafhpadfsihafififiph[.]xyz afhpafaffififififiph[.]xyz afihififififififififififififiIhaspiphpiasdhpidkiga[.]xyz公司做了一个做了一个做了一个做了一个做了一个做了一个做了一个做了一个做了一个基金会的一个基金会的一个基金会的一个基金会的一个基金会的一个基金会的一个基金会的一个基金会的一个基金会的一个基金会的一个基金会的一个基金会的一个基金会做了一个基金会。这个基金会的第二个基金会的一个。这个基金会的第三个基金会的基金会。这个基金会的第三个。这个基金的xyz afsidihifapshihdkiga[.]xyz FDSfdshDiuf[[号]xyz fdshdiuf[一个合资的共有一个合资的合资的合资的合资的合资的合资的合资[.]xyz公司ouaefgoiafeohoafeughoafeighoafeouafseghgouaesf[.]faith sdahsadihsdafpihf[.]xyz托管Sundown域的IP地址185.93.185[.]226(请检查VirusTotal以获取此IP上看到的更多Sundown域)