来自 DDOS 2022-03-30 23:50 的文章

cc防御_免费ddos防火墙_如何防

cc防御_免费ddos防火墙_如何防

Forcepoint安全实验室最近观察到一个特殊的电子邮件活动,微软云防御ddos,它传播一种Dridex banking特洛伊木马的变体。该活动使用受损FTP站点而不是更常见的HTTP链接作为恶意文档的下载位置,ddos国外防御比较好的,在下载过程中暴露受损FTP站点的凭据。

这些恶意电子邮件在2018年1月17日UTC 12:00之前分发,并保持活动约七个小时。这些电子邮件主要发送到.COM顶级域名(TLD),第二、第三和第四个顶级受影响的TLD表明主要区域目标分别是法国、英国和澳大利亚:

所使用的发件人域名被视为泄露账户。发件人名称围绕以下名称旋转,也许是为了让毫无戒心的收件人更相信这些电子邮件:

下面是一封恶意电子邮件样本:

该活动使用了两种类型的文档。第一类是滥用DDE执行以下shell命令下载恶意软件的文档:

上面的链接下载B64编码字符串,防护软件,该字符串解码为以下下载代码:

第二类是XLS文件,其中包含一个宏,可从以下位置下载Dridex:

hxxp://theairlab[.]co.za/KJHdey3

然后使用以下命令:

受损服务器似乎没有运行相同的FTP软件;因此,凭据似乎有可能以其他方式被泄露。

活动的实施者似乎并不担心暴露他们滥用的FTP站点的凭据,这可能使已经泄露的站点受到其他团体的进一步滥用。这可能表明攻击者拥有大量受损账户,因此将这些资产视为一次性资产。同样,如果一个受损站点被多个参与者使用,这也会使安全专业人员和执法人员更难确定其归属。

活动的多个属性表明它可能来自Necurs僵尸网络:

用于分发的域在我们的记录中已经作为先前Necurs活动中使用的受损域存在;Necurs在历史上传播Dridex;文件下载程序也与Necurs过去使用的类似;XLS文件的下载位置也遵循传统的Necurs格式。

但是,与典型的Necurs活动相比,该特定活动的数量非常少。Necurs通常在每个活动中发送数百万封电子邮件,而据记录,该活动总共发送了略多于9500封电子邮件。Necurs最近被记录使用恶意链接(与恶意附件相反)来分发Dridex,但切换到基于FTP的下载URL是一个意外的变化。

Forcepoint客户在以下攻击阶段受到保护,WAF能防御DDOS,免受此威胁:

第2阶段(诱惑)-识别并阻止与此攻击相关的恶意电子邮件。第5阶段(滴管文件)-禁止下载恶意文件。第6阶段(呼叫总部)-Dridex联系其C&C服务器的尝试被阻止。

网络犯罪分子不断更新其攻击方法,以尝试确保最大的感染率。在这种情况下,使用FTP站点,cdnddos防御,可能是为了防止被电子邮件网关和网络策略检测到,这些网络策略可能认为FTPs是可信位置。电子邮件中FTP凭据的存在突出了定期更新密码的重要性:只要凭据保持不变,受损帐户可能会被不同参与者多次滥用。

尽管活动的属性表明它来自Necurs,活动的规模或多或少是"平均"的。鉴于Necurs与大型活动的典型关联,其原因仍然是个谜。

Forcepoint安全实验室将在未来继续监控类似活动,并根据需要更新此处的信息。