来自 DDOS 2021-06-08 06:14 的文章

云盾高防采集_cdn安全防御_方法

云盾高防采集_cdn安全防御_方法

美国国家反情报执行办公室(Office of the National counter intelligence Executive)2011年向国会提交的一份关于外国经济收集和工业间谍活动的报告中,作者指出,"根据一家美国咨询公司的数据,医疗服务和医疗器械/设备将是增长最快的五个国际投资领域中的两个。这些领域的新产品研发成本巨大,一种药物的研发成本高达10亿美元,从一种受欢迎的新药中赚取垄断利润的可能性,以及中国、俄罗斯老龄化人口对医疗保健的需求日益增长,而其他地方可能会激发人们对收集有价值的美国医疗、医药和相关信息的兴趣。"Cyber Squared正在积极跟踪复杂的网络威胁,其中一些威胁针对的是医疗和生命科学行业ThreatConnect.com网站.近年来,网络威胁集团对这些行业的兴趣日益增长。由于这一已确定的趋势,Cyber Squared已经开发了一个案例研究,研究了有针对性的攻击,并描述了这些特定威胁集团伤害医疗行业背后的动机。由于医疗行业内的攻击很少成为头条新闻,人们可能不知道它对攻击者的吸引力,但有几个原因说明它是主要目标。医疗行业中那些研究、开发、销售产品或为消费者提供服务的人需要了解他们为什么会成为目标,他们面临着越来越大的风险,ddos防御工具有哪些,以及如何更好地保护自己的资产。以下示例确定了目前针对医疗和健康相关组织的特定APT威胁团体。APT示例1:2012年10月,一名中国威胁参与者在geneoptix[.]com、bioduroinc[.]com和accessenture[.]com域名上进行恶意Internet Explorer(IE)零日漏洞攻击(CVE-2012-4969)。这些恶意网站的链接很可能被用于有针对性的鱼叉网络钓鱼活动和/或定向驾车下载攻击。分阶段域名类似于合法公司GenOptix、BioDuro和Accenture的域名,这些公司都提供先进的医疗、药物和生命科学研究。已识别的恶意基础设施在重叠的时间点共存,这表明可能发生了多个并发的目标攻击活动。Cyber Squared能够确认攻击者将合法的BioDuro网站镜像到一个驾车攻击网站,该网站使用恶意iframe将用户重定向到CVE-2012-4969 IE零日漏洞攻击。BioDuro是一家位于北京的药物发现和生命科学研究公司。经过妥协,受害者随后受到感染有一个名为Win32/Thoper.B又名Sogu aka TVT的"销毁远程访问特洛伊木马"(RAT)的下载器变体。攻击者本可以利用恶意基础设施直接攻击各种个人,例如合法公司、其母公司、合作伙伴、子公司和竞争对手。目标组织中任何一个认可并信任BioDuro品牌的个人都将是一个理想的目标。持续访问前沿研究或竞争信息可能会让攻击者利用远程访问为任何受损数据的受益者提供优势。APT示例2:2012年7月2日,AlienVault实验室发布了一个名为Sykipot的恶意软件家族的博客,这是1月12日博客的后续。Sykipot植入物(也称为GetKys)至少在过去几年中被用于目标攻击,免费cc防御软件,未经证实的痕迹可追溯到2006年。虽然AlienVault实验室的博客确定了由Sykipot参与者注册的9个域,但Cyber Square的分析师使用ThreatConnect对外星人的保险库数据进行了额外的加密,最大防御ddos,并且能够将数据集扩展到30多个额外的指挥与控制(C2)域和三个用于注册C2域的电子邮件地址。在分析了Sykipot肇事者使用的基础设施后,Cyber Squared自信地确定,这些对手的目标是医疗行业。以下是我们分析结果的样本:Sykipot参与者注册的30个域中有一个是"nihnrhealth[.]com",Sykipot受害者很容易将其误认为是与国家卫生信息网相关的合法域。另一个Sykipot命令和控制域(服务器主机防御[.]net)解析为亚太艾滋病干预小组(APAIT)注册的主机的IP地址。该协会是一个通过向南加州地区提供预防、保健和社会服务、社区领导和宣传,积极影响亚洲及太平洋岛民的生活质量的组织。APAIT是美国为亚太岛民(API)社区提供艾滋病毒/艾滋病预防和护理服务的最大供应商之一。总部位于南加州,自1987年以来,APAIT一直在为API提供文化和语言方面的适当服务。(Commerce,2009)APAIT网络很可能是以前威胁行为体的目标,并在随后的攻击中被重新利用。(跑酷,2010)Cyber Squared使用ThreatConnect分析了Sykipot域"e-landusa[.]net",并确定了20多个其他命令和控制域已解析到IP地址24.236.34[.]140。其中一个被识别的域是"altchksrv.主机防御[净]。AlienVault之前暗示Sykipot的演员使用altchksrv.主机防御在2011年12月利用Adobe漏洞CVE-2011-2462的攻击中,[.]net。"Hostdefence[.]net"是通过电子邮件地址"parviz7415[at]注册的雅虎,台湾高防cdn,并有另一个子域服务器主机防御[净]。两者都有"服务器主机防御[.]净"和"altchksrv.主机防御[.]net"解析为216.2.95[.]195,(APAIT IP地址)使用了近12个月。2012年1月提交给ThreatExpert的一个恶意软件样本被卡巴斯基反病毒签名标记为Sykipot,并试图连接到216.2.95[.]195。受害者被利用来提供恶意软件,使他们的受损系统和Sykipot参与者的基础设施之间建立指挥和控制关系。域是为医疗社区和医疗系统定制的,这些系统使用不情愿的参与者参与攻击当中点跳跃时。虽然未连接到Sykipot,但在2011年12月8日至2012年1月18日期间,其他四个恶意软件样本被提交给ThreatExpert,其中嵌入了APAIT IP地址216.2.95[.]195作为命令和控制目标。所有被评估为中国血统。进一步的研究显示,2010年有针对性的电子邮件攻击使用APAIT互联网协议地址发送恶意钓鱼消息。APT示例3:2012年6月至7月间,一群中国威胁参与者(也称为"VOHO")利用"驾车下载"(driveby download)的方式,对受害者进行大规模的妥协。这些目标似乎是专门为华盛顿特区和马萨诸塞州波士顿市的商业和地方政府所涉及的受害者而选定的,以及参与非自由地区民主进程发展与推广的组织,袭击者利用Gh0st老鼠与受害者互动。根据RSA的报告,攻击者破坏了一个合法的台湾医疗网站,"www.wsdhealty公司[.]com"托管利用Java和Microsoft漏洞CVE-2012-1889和CVE-2012-1723的恶意软件。Cyber Squared能够识别出攻击者还将域,"nih-darktech州长[.]org"在相关的恶意指挥和控制基础设施中也在最初的VOHO活动中使用。这可能表明VOHO参与者在VOHO活动中将国家卫生研究所(NIH)作为目标的基础设施管理技术。结论以医疗和生命科学行业为目标的资源丰富和复杂的威胁集团所构成的威胁是非常真实的。在这些行业中应用经济间谍活动最终会使数十亿美元的救生研究和医学突破成为焦点,世界卫生组织将其时间和资源投入到先进的生命科学和研究领域,云左的高防cdn,他们必须开始应对复杂威胁所带来的风险,努力将知识产权损失和对商业运作的干扰降到最低。那些不愿意应对持续的网络威胁带来的风险的人可能面临知识产权、市场份额、收入等方面的损失。以上强调的所有APT示例都已在ThreatConnect社区内的事件"20130313A:医疗威胁博客"下编译并公开共享。如果您代表医学研究或生命科学组织,并希望在安全的社区共享交换中定期获取威胁情报更新,请在注册ThreatConnect.com网站对于一个组织帐户。医学案例研究"医疗行业,一个网络受害者:数十亿美元被盗和生命危险",可在Cyber Squared下载页面上找到。