来自 DDOS 2022-04-24 08:00 的文章

防御ddos_网站防御查询_原理

防御ddos_网站防御查询_原理

自年初以来,FritzFrog已在各种网络中被发现

一种新形式的对等(P2P)恶意软件已被发现,为恶意行为设置了新的标准。自今年年初以来,人们在各种网络中发现了名为FritzFrog的病毒。为什么它如此引人注目?原因有几个:它是无文件的,操作完全分散,是从头开始编写的,经常更新和增强,还没有被任何已知的威胁参与者声称。让我们检查一下这些要点。

无文件恶意软件使用的代码已经存在于普通Windows端点上,ddos有专门的防御设备,例如PowerShell、Windows管理界面和Visual Basic(有Linux无文件案例,这就是FritzFrog运行的情况。)我在这里为安全智能写了一篇博文,我有一个更完整的解释。这是令人讨厌的,因为没有任何东西会粘附到唯一标识任何恶意软件的端点,并且在特殊情况下,它会在重新启动后持续存在。为了隐藏自己,它使用了常见程序(如ifconfig和nginx)的可执行名称,乍一看,ddos防御能力对比,这似乎是善意的,但却是合法的Linux软件工具的名称。

FritzFrog的代码也是精心编制的。许多恶意软件样本利用现有的开源或已知的过去攻击模式。这只青蛙更像王子,防御cc是什么意思,而且独一无二。更令人不安的是,自1月份发现第一批样本以来,研究人员已经将20种不同的版本进行了编目。这些新版本包含有关新识别目标的数据,以及哪些端点具有恶意软件的活动运行副本。

也很难确定其命令结构,主要是因为它没有任何集中式服务器。我们都可能还记得WannaCry是如何被Marcus Hutchins对其命令服务器的简单攻击击倒的。FritzFrog是完全分散的,通过使用P2P网络来控制其操作和分配工作负载。请考虑一下最后一项:代码中有一种有趣的负载平衡技术,可以将攻击分布到P2P节点上,这样就不会有两个节点试图攻击同一个目标端点。这表明了对细节的关注。除此之外,恶意软件还能够通过SSH使用加密通信来进一步避免检测。

更令人不安的是,它使用的P2P协议不是某种快速仿冒的协议,而是专为自己的邪恶目的而设计的专有协议。该P2P网络用于共享文件,以感染新的端点,并运行恶意有效载荷,如Monero cryptomining软件。

Guardicore实验室的研究人员共享了他们自己的检测脚本,用于搜寻青蛙。该脚本查找行为异常的进程,这些进程没有任何现有的可执行文件在端口1234上运行。该端口具有合法用途,例如用于流式VLC视频文件和一些在线游戏。但多年来它也看到了各种各样的恶意软件流量。

有几件事:首先,如果你的安全解决方案只是寻找端口和协议,nginx防御ddos,你需要升级你的游戏,找到更好的产品,可以扫描进程和更复杂的攻击。第二,ddos第三方防御,如果您仍然没有使用MFA来加强密码收集,特别是在您的开发团队中,那么现在是时候加入了。

因为青蛙使用SSH进行通信,您应该检查您的所有设备,包括路由器和其他物联网设备,如果您不使用SSH访问,请关闭SSH访问;如果您正在使用SSH访问,请将其更改为非标准端口。最后,您应该确保FritzFrog使用的加密密钥不是授权密钥集合的一部分,因为这表明它已经渗透到您的网络中。