来自 CC防护 2021-06-09 00:06 的文章

香港高防服务器_海外行动高_新用户优惠

香港高防服务器_海外行动高_新用户优惠

威胁焦点:Amadey机器人针对非俄罗斯用户Amadey是一个简单的特洛伊木马机器人,首次发现于2018年10月[1]。不过,恶意软件也可以用来收集其他环境中的信息。Amadey的一个主要感染媒介是RigEK和Fallout EK等漏洞工具包[2]。在我们的监控过程中,我们还观察到该特洛伊木马程序是通过AZORult Infostealer[3]在2月23日至3月1日,以及4月18日至6月5日期间传递的。示例哈希值没有频繁更改。最近,TA505在2019年4月的竞选中使用了Amadey[4]。这个技术博客揭示了Amadey的详细行为,并检查了它的AZORult活动。它集中在最新的样本(DE8A40568834EAF2F84A352D91D4EA1BB3081407867B12F33358ABD262DC7182)上。技术分析混淆Amadey拥有解码逻辑,如图1所示。它混淆了域名、dll文件名、API名称、防病毒(AV)供应商名称等字符串。例如,"94 D6 CD CF 99 DA AD 92 CF CD 98 D7 96 AA A1 D6 AA A1 D6 94 C6 A6 CF"(嵌入此恶意软件文件中)解码到命令和控制(C2)域名:ashleywalkerfuns[.]com。图1:Amadey的解码程序安装运行时,Amadey会查找受害者计算机上安装的防病毒产品(见表1)。接下来,它将自身复制到"C:\ProgramData\44b36f0e13\"中,作为vnren.exe文件,然后在终止原始进程之前执行该文件。"ProgramData"子文件夹名称是硬编码的二进制文件,每个示例的名称可能有所不同:AV产品代码AVAST软件0x1个小红伞0x2个卡巴斯基实验室0x3个ESET公司0x4个熊猫安全0x5个医生网0x6个平均0x7个360总安全0x8个比特卫士0x9诺顿0xA型骚护士0xB型科摩多0xC型表1:AV产品名称和代码如果Amadey发现受害者机器上安装了Norton(0xA)或Sophos(0xB)AV软件,则它不会将自己放到%PROGRAMDATA%目录下(见图2):图2:如果Amadey找到Norton或Sophos,它不会掉下自己坚持不懈为了持久性,Amadey将Startup文件夹更改为包含vnren.exe文件". 它覆盖注册表项以更改启动文件夹,ddos防御费用,如图3所示:图3:Amadey覆盖Startup文件夹以保持其持久性它还检查安装的防病毒产品。如果找到360TotalSecurity,ddos攻击类型及防御,如图4所示,则不会覆盖注册表项:图4:Amadey在发现360全方位安全性时并没有建立持久性指挥控制通信表2显示了Amadey用于POST请求的参数及其值:钥匙价值身份证件识别。根据卷序列号计算。与Amadey版本(这些示例为1.09)应收账如果受害者具有管理权限,则为1。否则为0。商业智能"1"表示64位0"表示32位。低压如果值为0,请安装其他恶意软件。操作系统操作系统版本。(例如,Windows 7是9)。平均如果没有防病毒产品,则为0。否则,它被分配到表1中的一个数字。个人电脑来自GetComputerNameA的计算机名联合国来自GetUserNameA的用户名表2:Amadey岗位参数Amadey每隔60秒将参数以明文形式发送到C2服务器(参见图5):图5:请求示例C2服务器向远程恶意软件文件返回URL列表。Amadey下载并运行远程文件,ddos防御能放cc吗,以进一步用其他恶意软件感染主机(参见图6):图6:响应示例在我们的调查中,我们发现C2服务器显示了以下登录页面(参见图7):图7:AmadeyC2登录页面Amadey C2工具Amadey管理员工具的源代码在Github[5]上。我们在测试环境中设置了该工具以调查其功能,cc防御去掉,并发现:受害者机器的统计信息(图8)受感染机器的列表(图9)附加恶意软件安装的任务管理(图10)◦如果受害机器在俄罗斯,C2工具将不会运行任何任务或安装任何其他恶意软件(图11):图8:统计信息图9:所有受害者信息图10:任务创建图11:C2工具不会针对俄罗斯的受害者运行任何任务(注意:删除了一些代码行)亚速尔阿玛代战役2019年,黑莓塞伦斯发现了两个Amadey活动,其中包括AZORult Infostealer。第一次是2月23日至3月1日(表3),第二次是4月18日至6月5日(表4)。根据以下资料,我们怀疑这些活动是由同一个攻击者领导的:它们都使用相同的版本(v1.09)远程文件名以"ama"开头所有这些都包括Amadey把自己vnren.exe文件"  SHA256统一资源定位地址日期b23c8e970c3d7ecd762e15f084f0675c B011FC2AFE38E7763DB25810D6997 ADF网址:hXXp://www[.]llambrich[.]com/ama[.]exe2019年2月23日-2019年2月24日E1EFB7E182CB91F2061FD02BFEBB5E4 b9a011d176a6f46e26fc5b881a09044fhXXp://motorgalicia公司[.]es/amad[.]exe文件2019年2月25日至2019年3月1日表3:otsosukadzima[.]com(AZORult C2服务器)的Amadey活动SHA256(阿玛代)统一资源定位地址日期5F581635E962AE615827376B609D34A CD6B01572E51F2FE7B858D82119509hXXp://2[.]59[.]42[.]63/amad_orj_pr[.]exe2019年4月18日3df371b9daed1a30dd89dabd88608f64 b000b6dddff3a958bf0edbd756640600hXXp://2[.]59[.]42[.]63/amad\u-yo[.]exe2019年4月18日-2019年4月20日de8a40568834eaf2f84a352d91d4ea1b b3081407867b12f33358abd262dc7182hXXp://ashleywalkerfuns网站[.]通信/通信或公共关系[.]exe2019年4月25日至5月。2019年5月21日。2019年28日-2019年6月5日表4:kadzimagenius[.]com(AZORult C2服务器)的Amadey活动结论Amadey是由AZORult infostealer传播的一个新的机器人家族。对其C2工具的源代码分析显示,如果受害者在俄罗斯,家庭网络如何防御ddos,它不会下载其他恶意软件。BlackBerry Cylance使用基于人工智能的代理,对数百万安全和不安全文件进行威胁检测。我们的自动化安全代理基于无数的文件属性和恶意行为来阻止Amadey,而不是依赖于特定的文件签名。黑莓赛伦斯(BlackBerry Cylance)比零日威胁更具预测性优势,它受过训练,能有效抵御新的和传统的网络攻击。如果您是使用CylancePROTECT®的BlackBerry Cylance客户,我们的机器学习模型可以保护您免受Amadey的攻击更多信息请访问https://www.cylance.com。 引文:[1]https://pastebin.com/U415KmF3[2]https://www.malware-traffic-analysis.net/2019/02/28/index.html[3]https://threatvector.cylance.com/en_us/home/threat-spotlight-analysis-azorult-infostealer-malware.html[4]https://medium.com/@1ZRR4H/ta505-EXTENSICA-ciberataques-a-chile-y-latinoam%C3%A9rica-con-FLUEDMY-9fb92c2f0552[5]https://github.com/prsecurity/amadey