来自 DDOS 2022-05-29 06:50 的文章

服务器安全防护_防御ddos云_快速接入

服务器安全防护_防御ddos云_快速接入

与CCleaner攻击无关,Avast还发现ShadowPad样本活跃在韩国和俄罗斯,记录了一笔金融交易

今天,ddos防御推荐,我分享了Avast在RSA继续调查CCleaner APT(高级持续威胁)的新发现。

去年9月,我们披露了CCleaner曾被网络犯罪分子作为目标,以便通过CCleaner安装文件分发恶意软件。全球227万CCleaner客户下载了修改后的安装文件。此后,我们的威胁情报小组一直在调查发生的事情。

自上个月我们在SAS提供更新后,我们进一步发现了攻击者是如何渗透梨状体网络的,以及他们在雷达下飞行的战术。在寻找与其他攻击的相似之处的同时,我们还分析了ShadowPad的旧版本,这是我们在四台梨状电脑上发现的网络攻击平台。我们的调查显示,ddos20攻击防御,ShadowPad以前曾在韩国和俄罗斯使用过,攻击者入侵了一台计算机,观察到一笔汇款。

为了发起CCleaner攻击,威胁参与者于2017年3月11日,即Avast收购该公司的四个月前,首次访问了梨形的网络,在开发人员工作站上使用TeamViewer进行渗透。他们通过单次登录成功获得了访问权限,这意味着他们知道登录凭据。虽然我们不知道攻击者是如何获得凭据的,但我们只能推测,威胁参与者使用梨形工作站用户用于另一项服务的凭据(可能已泄露)访问TeamViewer帐户。

根据日志文件,TeamViewer是在当地时间上午5点访问的,当电脑无人值守但仍在运行时。攻击者试图安装两个恶意DLL,但由于缺乏对系统的管理员权限,尝试未成功。在第三次尝试中,攻击者使用微软开发的脚本语言VBScript成功地丢弃了有效负载。

攻击者试图进入第一台计算机的方式

第二天,2017年3月12日,攻击者横向移动到第二台计算机上,再次将目标锁定在工作时间以外的无人值守计算机上(当地时间上午4点)。攻击者通过Microsoft的远程桌面服务打开后门,将二进制文件和有效负载传送到计算机注册表。交付的有效载荷是第二阶段恶意软件的较旧版本,交付给40名C清洁用户。

3月12日横向移动到第二台计算机

两天后,攻击者返回第一台计算机,并感染了第二阶段恶意软件的较旧版本。

攻击者移回第一台计算机,用旧版本的第二阶段恶意软件感染它

经过数周的明显不活动后,下一阶段的有效负载被传送到第一台受感染的计算机。我们认为,威胁参与者在不活动期间准备了恶意二进制文件。攻击者应用多种技术渗透内部网络中的其他计算机,包括使用键盘记录器收集的密码,以及通过Windows远程桌面应用程序以管理权限登录。交付的有效载荷是臭名昭著的暗影板,我们认为它是作为CCleaner攻击的第三阶段。它作为一个mscoree.dll库交付给梨形网络中的四台计算机,包括一个构建服务器,屏蔽为一个.NET运行时库而不被注意。这个存储在磁盘上的库上有一个时间戳,显示我们找到的ShadowPad版本是在2017年4月4日编译的。这是安装在梨形计算机上的前八天,这意味着它是为攻击定制的,我们在3月和9月的早期博客文章中也描述了这一点。

攻击者在将恶意负载潜入CCleaner构建之前的五个月就在梨形网络中。Avast于2017年7月18日收购了Piriform,2017年8月2日出现了第一个带有恶意负载的CCleaner版本。有趣的是,他们花了这么长时间才开始攻击CCleaner用户。

在分析了Piriform网络的ShadowPad可执行文件后,我们在VirusTotal上查找了类似的文件。我们发现了两个样本,一个出现在韩国,另一个在俄罗斯。2017年12月27日,从韩国上传到ViuStuthor的样本被上传到与韩国KOKUKK大学主办的CNC服务器通信。可能是在一台被黑客入侵的电脑上。根据样本的上传方式和包含的信息,我们认为是用户将其上传到了VirusTotal,而不是安全公司。

左:显示攻击中使用的IP地址的病毒解密配置;图片来源:Avastright:来自互联网搜索引擎Shodan.io的图片,显示CnC服务器IP地址上可用的服务;图片来源:Shodan

我们在VirusTotal上发现的第二个ShadowPad可执行文件针对的是俄罗斯的一台计算机,如何设置防御cc,ddos防御产品介绍,该计算机由一个参与公共预算分配的组织操作。其中一份提交文件上载有文件名,第二份提交文件从防德铅弹还是jsb精度高上载至VirusTotal。第一个文件于2017年11月3日提交,第二个三天后于2017年11月6日提交。

在第二次提交中,我们发现了一个7ZIP文件,其中包含更多文件,包括先前提交的文件,以及键盘记录器模块的加密日志。我们解密了日志文件,并在不同的进程中发现了按键,例如来自Microsoft Word、Firefox、Windows Explorer和БПППППППППöCSP(CryptoPro CSP)的按键。最有趣的是来自Firefox的日志,用户在其中完成金融交易。我们还发现了一份合同,该合同也是公开记录,以及参与这些过程的员工姓名。