来自 DDOS 2021-06-08 03:17 的文章

国内高防cdn_自建cdn防御ddos_解决方案

国内高防cdn_自建cdn防御ddos_解决方案

*这篇文章也可以在Fidelis博客ThreatGeek上找到。*漂亮的熊有一种抓不到的痒ThreatConnect和Fidelis联手探讨民主党国会竞选委员会(DCCC)的妥协方案请阅读DNC入侵事件后的所有威胁性帖子:"重启水门事件:敲入民主党全国委员会","闪亮的物体?Guccifer 2.0和DNC漏洞,"名称服务器中有什么?","古奇弗2.0:人,神话,传奇?","Guccifer 2.0:所有的道路都通向俄罗斯","漂亮的熊有一种他们抓不到的痒","熊会在树林里漏水吗?""俄罗斯对类固醇的网络行动"和"熊能爬进兔子洞吗?"。 在新闻报道民主党国会竞选委员会(DCCC)通过一个虚假捐款网站被攻破后,ThreatConnect研究团队和Fidelis网络安全部门联手合作,查看相关域名,以找出有关活动的更多细节。DCCC违约的初步迹象表明,基于以下几点,熊掌图案很奇特:首先,注册人-fisterboks@电子邮件[.]com–在欺骗域后面安全.actblues[.]com还注册了另外三个域名,所有这些域名都与德国情报局(BfV)的FancyBear有关。 其次,个人电脑怎么防御ddos,这一时机与DNC泄密事件公布后对手对高度关注的反应一致。第三,使用的两个名称服务器fisterboks@电子邮件[.]com注册四个可疑域是由frank_merdeux@欧洲[.]com,misdepatrment[.]com的注册人,这是一个伪造的域,以前解析为DNC漏洞中使用的一个花哨的BEAR命令和控制IP地址。最后,存在一种模式,参与者通过利用免费的webmail提供者(如1&1)创建虚拟的注册者电子邮件地址邮件或者Chewie邮件,注册包含小字符转换或修改拼写的伪域名。此外,该公司还青睐注册商和托管提供商,防御cc常用手段,这些提供商似乎通过接受比特币支付而提供匿名性。以下将加强我们对花式熊参与的评估:其他信息,指示是否使用actblues[.]com域来破坏DCCC。目前,我们不知道这个域名是否被用于社交网络钓鱼电子邮件、提供恶意软件或窃取用户凭据。如果恶意软件与此妥协有关,拥有恶意软件的样本或信息将帮助我们确定它是否与FANCY BEAR使用的其他工具一致。如果在actblues[.]com域和IP之外还有任何其他基础设施涉及到这一妥协,那么确定该基础设施和已知的花式熊基础设施的注册和托管信息之间的联系可以增强我们对评估的信心。已识别欺骗的DCCC域我们两家公司分别研究了这个领域安全.actblues[.]com,它欺骗了DCCC的合法捐赠网站安全.actblue[通信]。FancyBearActors之前在misdepatment[.]com域中使用了相同的技术,它欺骗了属于misdepartment的合法域,这是一家民主党全国委员会的IT承包商。actblues[.]com域托管在荷兰IP地址191.101.31[.]112(Host1Plus,ddos防御方案包括以下哪些,Digital Energy Technologies Ltd.的一个部门)上,通过I.T.Itch注册器使用隐私保护服务进行注册。在查看了actblues[.]com的授权起始(SOA)记录之后,我们能够识别电子邮件地址fisterboks@电子邮件[.]com最初注册了域。白皮书:推进网络安全计划的6种简单方法这个fisterboks@电子邮件[.]com email address之前注册了另外三个域:intelsupportcenter[.]com(托管在专用服务器上,地址为81.95.7[.]11)、intelsupportcenter[.]net(未激活)和fastcontech[.]com,所有这些都归因于德国官方情报(BfV)2016年1月网络简报报告中的花式熊活动。还应注意的是,fastcontech[.]com与Crowdstrike为FANCY BEAR(185.86.148[.]227)列出的IP之一托管在同一个ISP上。完美的时机在使用ThreatConnect Farsight被动DNS集成对actblues[.]com域进行进一步审查后,我们能够确定域首次解析的日期和时间。actblues[.]com域最初注册于6月14日,之后不久解析为191.101.31[.]112 IP。这表明该域在不到一天的时间内就投入了运行。走出去看看与DNC活动相关的其他背景,我们发现CrowdStrike关于DNC黑客攻击的初始报告也在6月14日发表。这表明,在被揭穿后,花哨的熊演员们立即将行动转移到另一个目标上,华为云ddos防御上限,这样他们就可以继续收集参与美国大选的民主党人物。外围关联191.101.31.0/24网络中安全的[actblues[.]com主机周围的基础设施值得仔细观察。在一个例子中,我们发现可疑域geologicsmonitor[.]com解析为IP地址191.101.31[.]116。据DomainTools称,WHOIS的geopoliticsmonicsmonitor[.]com列出了世界卫生组织的信息博蒂尼•桑迪@邮政com作为域名注册人,I.T.Itch提供管理和名称服务。此域似乎是对合法域的欺骗地缘政治监测网站. 《地缘政治观察报》将自己列为加拿大的"国际情报出版物和咨询公司"。这与可疑域stratforglobal[.]net一致,该域使用Xtra Orbit名称服务(xtraorbit[.]com/xo.*.orderbox)-dns.com网站)以及注册人偶像破坏者@邮件在我们之前的博客中有详细介绍。Stratfor将自己列为"为世界各地的个人和组织提供战略分析和预测的地缘政治情报公司"。针对这些组织和/或其客户可能会产生战略见解或促进二次操作。在审查与FANCY BEAR基础设施相关的外围网络时,我们看到了与普华永道Sofacy II中确定的以下主机的相关性-同一个Sofacy,不同的一天:环球新闻周刊欧安组织oscc[.]组织enisa europa公司欧罗巴集团军事观察员网以及其他可疑域,如:Academical[.]com-欺骗黑水公司的新名称。tolonevvs[.]com-欺骗一家阿富汗新闻机构。eurosatory-2014[.]com–欺骗eurosatory,年度军事防务会议。check italia[.]ml–欺骗与意大利经济发展部有关的组织。名称服务器连接这个fisterboks@电子邮件[.]com出现在我们之前关于FANCY BEAR使用比特币名称服务器的帖子中。当时,我们对intelsupportcenter[.]com和intelsupportcenter[.]net这两个域感兴趣,因为它们看起来像是英特尔公司的域欺骗,而不一定是因为它们是由注册的fisterboks@电子邮件[通信]。有问题的域名服务–.bitcoin dns[.]托管服务也被misdepatrment[.]com使用,这是一个伪造的域名(合法的misdepartment.com网站)这解决了一个奇特的熊命令和控制IP地址用于DNC的漏洞。同一名称的服务器已经被其他花哨的BEAR链接域以及一长串没有被归因于任何特定威胁参与者的可疑域所使用。actblues[.]com和fastcontech[.]com两个域名fisterboks@电子邮件[.]我们从SOA记录中识别出的com域是通过一个名为I.T.Itch的不同名称服务器注册的。fastcontech[.]com也在德国关于FANCY BEAR的情报报告中得到确认,它位于一个专用服务器上,IP地址为185.61.149[.]198。当我们查看还有谁在使用I.T.Itch名称服务器时,我们找到了httpconnectsys[.]com。这个域是值得注意的,因为SOA记录表明它最初是由注册的frank_merdeux@欧洲[.]com,与用于注册misdepatment[.]com域的电子邮件地址相同。在撰写本文时,我们还没有确定任何注册人使用的任何其他名称服务器。一、 痒病登记员一、 Itch(ittch[.]com)自称是一家匿名网络托管、比特币托管、私人域名注册公司,其"100%违规率"旨在帮助实体保持匿名数字存在。据称,该公司是通过"积极忽视和阻碍数字数据请求和删除通知"来实现这一目标的。据称,该公司基础设施上的网站利用"位于三大洲秘密地点的网络服务器",进一步保护客户的私人信息和言论自由,基本上使网站所有者匿名。当然,这种匿名承诺对网络威胁参与者很有吸引力。然而,正是这种匿名基础设施的倾向,加上可用的SOA记录,ThreatConnect研究团队发现了使用I.T.Itch名称服务器的其他APT相关基础设施,尽管使用了隐私保护服务来屏蔽注册者的数据。仔细检查I.T.Itch名称服务器上的其他可疑域我们查看了今年注册的所有域名,这些域名目前与actblues[.]com使用相同的名称服务器(ititch[.]com)。在此基础上,我们试图识别那些托管在专用服务器上的域,这些域的名称以及它们欺骗的域或主题最为突出。来自各种APT组的恶意参与者通常将其恶意域托管在专用IP地址上。虽然这并不表示恶意活动,但它可以帮助我们确定域的优先级以进行进一步的检查。需要注意的是,名称服务器同一位置并不能明确地将可疑域与以前的恶意活动相关联。此外,5gddos防御,我们不能立即