DDOS防御专家-提供超强DDoS高防/CC防护/大流量清洗服务!
当前位置:主页 > CC防护 > 正文

DDOS高防服务_防cc攻击设置多少秒_原理

05-02 CC防护

DDOS高防服务_防cc攻击设置多少秒_原理

Radware Threat Research Center发现了一场针对巴西银行客户的劫持活动,他们通过物联网设备试图获取他们的银行凭证。该研究中心自6月8日以来一直在跟踪巴西针对DLink DSL调制解调器路由器的恶意活动。通过已知的2015年的旧漏洞攻击,防御ddos攻击思路,恶意代理试图修改巴西居民路由器中的DNS服务设置,通过恶意DNS服务器重定向他们的所有DNS请求。恶意DNS服务器正在劫持对Banco de Brasil主机名的请求()不管怎样,复制到巴西的合法网站上都没有被复制到合法的网站。Itau Unibanco,另一家巴西金融机构,防御cc常用手段,hostname()也被重定向,尽管目前还没有被克隆的网站支持。对于所有其他DNS请求,恶意服务器充当转发器,并像ISP DNS服务器那样进行解析。黑客设置的恶意DNS服务器变成了一个有效的中间人,它为恶意行为人提供了灵活性,可以打开假门户和网络前端,从路由器被感染的用户那里收集敏感信息。这种方法的独特之处在于,劫持是在没有任何用户交互的情况下执行的。早在2014年和2015-2016年,就有报道称,有精心设计的网址的网络钓鱼活动和试图从用户浏览器内更改DNS配置的恶意广告活动。2016年初,互联网上发布了一个名为RouterHunterBr 2.0的攻击工具,并使用了相同的恶意URL,但迄今为止,我们还没有发现来自该工具的滥用行为的报告。这种攻击是隐蔽的,因为用户完全没有意识到这种变化。这种劫持不需要在用户的浏览器中创建或更改url。用户可以使用任何浏览器和他/她的常规快捷方式,他或她可以手动输入URL,甚至可以从iPhone、iPad、Android手机或平板电脑等移动设备上使用URL。他或她仍然会被发送到恶意网站,而不是他们所请求的网站,因此劫持有效地在网关级别工作。[您可能还喜欢:DNS:加强最薄弱环节]袭击细节从6月12日起,我们的欺骗网络记录了多起针对一个旧的D-Link DSL路由器攻击的感染尝试。利用此漏洞可在调制解调器路由器上对DNS服务器设置进行未经验证的远程配置。恶意URL的形式如下:/dnscfg.cgi?dnsPrimary=&dnsSecondary=&dnsDynamic=0&dnsRefresh=1早在2015年2月,针对多个DSL路由器(主要是D-Link)发布了漏洞攻击:Shuttle Tech ADSL调制解调器路由器915 WM/未经验证的远程DNS更改:利用漏洞 DSL-2740R/未经验证的远程DNS更改攻击: DSL-2640B未经验证的远程DNS更改攻击:https://www.exploit-db.com/exploits/37237/D-Link DSL-2780B DLink_1.01.14–未经验证的远程DNS更改:https://www.exploit-db.com/exploits/37237/D-Link DSL-2730B AU_2.01–身份验证绕过DNS更改:https://www.exploit-db.com/exploits/37240/DSL 2-6B远程ADS连接https://www.exploit-db.com/exploits/37241/从6月8日到8月10日,我们的欺骗网络记录了近500次尝试。我们所有位于圣保罗的蜜罐无一例外地捕捉到了这些企图。我们的全球欺骗网络的其他成员没有捕捉到任何这些企图,这意味着恶意代理只将攻击重点放在巴西的目标上,试图提高效率,同时远离巴西境外的蜜罐。尝试利用少数服务器进行攻击。大多数服务器都位于美国,但最活跃的服务器,目前唯一活跃的服务器位于巴西。以下是500次尝试的5个IP地址:最初,攻击中使用的恶意DNS服务器IP为69.162.89.185。从2018年8月2日起,IP更改为198.50.222.136。解析巴西银行的主机名()通过恶意DNS服务器:对伊图亚联合银行来说也是如此:巴西银行的假克隆网站位于https://198.50.222.136/pbb/web并使用有效期起始日期为2018年8月1日的自签名证书,与攻击尝试中恶意DNS服务器IP的变化相匹配。我们强调,巴西银行的假克隆网站托管在一个恶意服务器上,该服务器与巴西银行的合法网站没有任何连接。当用户试图通过仿冒的克隆网站访问账户时,会向用户出示一份表格,阿里云高防ip不用cdn,要求提供银行机构号码、账号和8位数字的pin码。接下来,这个假冒网站要求用户提供手机、卡号和CABB号码来确认身份。变量rnd=窗口.rnd|| 数学地板(数学随机()*10e6);var pid276005=窗口.pid276005||rnd;变量plc276005=窗口.plc276005||0;无功功率=窗口.abkw|| '';var absrc='https://servedbayadbutler.com/adserve/;ID=168379;size=0x0;setID=276005;type=js;sw='+屏幕宽度+';嘘='+屏幕高度+';spr='+窗口设备像素比率+';kw='+abkw+';pid='+pid276005+';位置='+(plc276005++)+';rnd='+rnd+';click=单击"宏"占位符';文档.写入('');对最终用户的影响上述银行没有受到直接攻击,也没有遭到破坏,但是他们的用户可能会因为这种恶意劫持攻击而遭受财务和私人数据损失。用户的"唯一"指标是无效证书,所有现代浏览器在使用安全连接时都会清楚地表明这一点。在没有明确确认"不安全"异常的情况下,甚至不可能访问该网站!然而,与原始网站不同,恶意网站确实允许不安全的连接。如果用户出于某种原因添加了书签或键入了不安全的url(而不是https://),则恶意网站很乐意保持不安全的连接,用户将不会收到可见的警告。   当恶意DNS服务器脱机或关闭时,会对受害者产生另一种影响。攻击者正试图用相同的恶意服务器IP修改主名称服务器和辅助名称服务器,这意味着当恶意服务器脱机时,所有受感染的家庭都将无法进一步解析任何主机名,并且在用户手动更新其路由器设置或ISP覆盖之前,所有受感染的家庭将无法进一步解析任何主机名,并且他们的internet实际上将无法访问设置。[你可能还喜欢:物联网威胁:这是谁的问题?]通知和协作我们一发现劫机事件就通知了目标银行。Radware与托管恶意DNS和web站点的云提供商密切合作,并很高兴地报告,网易的ddos防御,拿高防服务器做CDN,自CEST下午1点起,服务器被离线。用户如何检测到他们被破坏了?正在检查IP配置中的移动设备、计算机或路由器的主DNS服务器和辅助DNS服务器设置。从路由器开始,最有可能的情况是在路由器上为家庭内的设备使用DHCP,所有设备都会将恶意服务器IP暴露为主DNS服务器和辅助DNS服务器。检查设备和路由器使用的DNS服务器的一种方便方法是通过网站,如'http://www.whatsmydnsserver.com/’.被感染的用户应该怎么做?只有在过去两年没有更新的调制解调器和路由器才能被利用。不时的更新也没什么坏处。它不仅可以保护设备的所有者,而且还可以防止设备成为破坏性DDoS攻击的奴隶或用于隐藏目标攻击。当使用安全连接时,所有的现代浏览器都会清楚地表明假网站的证书存在问题。这些警告不应被忽略,并且在没有进一步考虑或调查的情况下,不应批准异常弹出窗口。当遇到这种情况时,应该敦促用户联系他们试图访问的组织的帮助台。结束语我们目睹了消费者物联网设备被奴役在僵尸网络中,这些僵尸网络旨在执行毁灭性的DDoS攻击、挖掘加密货币、提供匿名代理服务来隐藏攻击和收集机密信息。大多数与物联网恶意软件侵害消费者物联网设备有关的活动并非针对设备所有者。用户大多不知道,或者他们不在乎,只要设备的主要功能不受损害。BrickerBot是第一个例外,它迫使用户通过用砖块封住他们的设备来关心,如果他们不这样做,就会被IoT恶意软件感染。这种新的攻击针对物联网设备所有者,试图获取他们的敏感数据,这是另一个原因,消费者关心他们的设备状态,并确保满足最佳实践,同时从符合并证明其设备开发安全标准的供应商处购买。虽然这一特定的攻击使用了两年前的漏洞攻击,但过去一年中在物联网设备上看到的大多数漏洞攻击都是在具有管理权限的用户环境中滥用远程命令执行。如果不是太牵强,想象一个恶意代理使用嵌入在RCE exploit url中的命令行脚本进行类似的劫持攻击。阅读"消费者情绪:网络安全、个人数据和对客户忠诚度的影响"了解更多。立即下载

版权保护: 本文由 DDOS防御专家 原创,转载请保留链接: http://www.ddosgb.com/ddos/50070.html

DDoS防御专家简介孤之剑
国内资深白帽子二十人组成员,前BAT资深网络安全工程师,知名网络安全站点板块大神,每年提交Google及微软漏洞,原sina微博负载插件开发者,现在整体防御复合攻击长期接受1-4.7T攻击,CC防护自主开发指纹识别系统,可以做到99.9999%的无敌防御。
  • 文章总数
  • 6773637访问次数
  • 建站天数

    DDOS防御

    ddos防御

    cc防护

    web安全

    高防服务器

    高防cdn


    QQ客服

    400-0797-119

    X