来自 DDOS 2021-02-20 16:05 的文章

防御cc攻击_打不死的_cc防护中心

防御cc攻击_打不死的_cc防护中心

当我们在野外看到ttp时,ddos攻击防御工具,我们的安全运营团队喜欢分享对ttp的见解。今天我们关注的是一个古老而美好的东西:从右到左的凌驾攻击。首先,从右向左刷新(RLO)覆盖。Unicode包含几个字符,这些字符被设计成允许在通常从左到右的文本中插入从右到左(RTL)字符。其中一个是"从右向左覆盖"字符,U+202E。例如,我们可以写一个普通的(从左到右)句子,突然从右向左切换:太酷了。一旦您的终端、浏览器或操作系统看到从右到左的覆盖字符,windows防御ddos,宝塔能防御cc攻击,它就会将随后的每个字符呈现为从右向左。字符仍按键入的顺序存储-只是表示形式颠倒了。有一个很棒的xkcd展示了它在现实生活中的工作原理:攻击者如何使用从右到左的覆盖狡猾的攻击者多年来一直使用Unicode字符诱骗用户打开恶意文件。这些攻击通常试图诱骗用户打开一个他们在其他情况下不会打开的文件。诀窍是让文件看起来像PDF或Office文档,而实际上它是一个恶意软件。假设我们有一个恶意软件,我们希望Bobby打开它,它以"scr"扩展名命名,防御ddos的公司,这是一个与Windows屏幕保护程序文件关联的Windows可移植可执行文件("PE")。作为攻击者,我们可以将文件命名为:"charity\u fundraiser_bb\u202"排除scr"由于是从右到左的字符,Bobby的电子邮件客户端和操作系统将显示为:现在鲍比更有可能打开这个文件,因为它看起来像一个漂亮、安全的DOCX文件。使用EDR数据检测潜在威胁要检测这些潜在的攻击,请查找包含从右到左字符的任何文件名。在许多工具中,不可能使用转义序列(即\u202E)直接搜索特定的Unicode字符,因此您可能需要复制该字符(它看起来不可见),然后将其粘贴到工具的搜索面板中。如果在文本后面键入字符,并且它们从右向左显示,则可以判断粘贴成功。[表id=3/]为了进一步扩展,还需要查找从左到右的字符(U+202D),它可能被用来进一步混淆真正的文件名。此探测器的准确性部分取决于您所监控的员工队伍的全局性。如果您的用户通常使用从右到左的语言,您将更频繁地看到这些匹配。在这种情况下,您可以添加进一步的检测条件,通过附加的上下文限制匹配,如文件扩展名、文件类型(它是可执行的/二进制的PE、ELF等)等。在过去的90多天里,我们已经看到了成百上千的红色探测器。这是一个相当精确的检测器,不会对您的团队造成高工作负载影响或误报率。应对潜在威胁测试和调查这些点击是很有挑战性的,因为您的EDR平台的web控制台将友好地读取从右到左的字符,高防cdn无视cc,并按照攻击者的意图显示给您。在许多浏览器中,识别表示从右到左字符的空白需要仔细观察。下面的屏幕截图显示了一个在Chrome中炭黑响应的示例。在对这些文件名进行了测试之后,我们的安全操作团队正在研究如何在Red Canary平台上标记这些特殊字符,以便它们能够清晰地显示在我们的分析师面前。对于虔诚的DFIR分析师来说,在页面上标记这些字符的Chrome插件将是一个有用的特性。狩猎快乐!hbspt.cta.负荷(1860440,'d85e90e9-16d6-433b-ae70-77b4829c1081',{});