DDOS防御专家-提供超强DDoS高防/CC防护/大流量清洗服务!
当前位置:主页 > CC防护 > 正文

高防御cdn_高防服务器哪家好_方法

05-03 CC防护

高防御cdn_高防服务器哪家好_方法

个人研究由Adi Raff和Yuval Shapira提供。2018年5月3日,Radware的云恶意软件保护服务通过使用机器学习算法,在其一家全球制造公司的客户身上检测到零日恶意软件威胁。这一恶意软件活动通过Facebook上的社交工程链接传播,并通过滥用谷歌Chrome扩展(即"Nigelify"应用程序)感染用户,该扩展执行凭证盗窃、加密挖掘、点击欺诈等。Radware威胁研究小组的进一步调查显示,该组织至少自2018年3月以来一直活跃,已经在100多个国家感染了超过10万名用户。Facebook的恶意软件活动并不新鲜。类似操作的例子包括facexworm和digimine,但这一群体似乎直到现在都没有被发现,这要归功于不断变化的应用程序和使用逃避机制传播恶意软件。图1:恶意软件杀死链感染过程自从最初的Nigelify应用程序将图片替换为"NigelThornberry"后,Radware将恶意软件命名为"Nigelthorn",并对所观察到的感染负责。该恶意软件将受害者重定向到一个假的YouTube页面,并要求用户安装一个Chrome扩展来播放视频。图2:假YouTube页面一旦用户点击"添加扩展",恶意的扩展就会被安装,机器现在是僵尸网络的一部分。该恶意软件依赖于Chrome,可以在Windows和Linux上运行。需要强调的是,cc防御在哪,这次活动的重点是Chrome浏览器,Radware认为不使用Chrome的用户不会面临风险。[你可能还喜欢:针对Facebook凭据的Stresspaint恶意软件活动]僵尸网络统计Radware收集了来自不同来源的统计数据,包括Chrome网络商店的恶意扩展统计数据和Bitly URL缩短服务。点击"添加扩展名"的受害者会被重定向到一个比特的URL,从中他们将被重定向到Facebook。这样做的目的是欺骗用户并获取对其Facebook帐户的访问权限。超过75%的感染覆盖了菲律宾、委内瑞拉和厄瓜多尔。剩下的25%分布在其他97个国家。图3:Bitly与100000多名受害者的注册链接变量rnd=窗口.rnd|| 数学地板(数学随机()*10e6);var pid276005=窗口.pid276005||rnd;变量plc276005=窗口.plc276005||0;无功功率=窗口.abkw|| '';var absrc='https://servedbayadbutler.com/adserve/;ID=168379;size=0x0;setID=276005;type=js;sw='+屏幕宽度+';嘘='+屏幕高度+';spr='+窗口设备像素比率+';kw='+abkw+';pid='+pid276005+';位置='+(plc276005++)+';rnd='+rnd+';click=单击"宏"占位符';文档.写入('');绕过Google应用程序验证工具活动操作员创建合法扩展的副本,并注入一个简短的、模糊的恶意脚本来启动恶意软件操作。图4:左边是合法版本,右边是恶意版本Radware认为这样做是为了绕过Google的扩展验证检查。到目前为止,Radware的研究小组已经观察到其中7个恶意扩展,其中4个已经被Google的安全算法识别和阻止。保持活力。已知扩展恶意软件一旦Chrome浏览器上安装了扩展,就会执行恶意JavaScript(见下文),从C2下载初始配置。图5:从C2获得的配置文件然后部署一组请求,每个请求都有自己的用途和触发器。这就是通讯协议。恶意软件功能数据被盗该恶意软件的重点是窃取Facebook登录凭据和Instagram cookies。如果在机器上登录(或发现Instagram cookie),它将被发送到C2。然后,用户被重定向到Facebook API以生成一个访问令牌,如果成功,该令牌也将被发送到C2。Facebook传播认证用户的Facebook访问令牌被生成,传播阶段开始。恶意软件收集相关账户信息,目的是将恶意链接传播到用户网络。C2路径"/php3/域名.php"被访问并返回一个随机URI。例如: 这个链接有两种分发方式:一种是通过Facebook Messenger发布的消息,另一种是作为一个新的帖子,其中包含多达50个联系人的标签。一旦受害者点击链接,感染过程就会重新开始,并将他们重定向到一个类似YouTube的网页上,该网页需要安装"插件"才能观看视频。[您可能还喜欢:为什么网络安全对您最有价值的客户的忠诚度至关重要]密码挖掘另一个被恶意软件下载的插件是一个密码挖掘工具。攻击者使用一个公开的浏览器挖掘工具,让受感染的机器开始挖掘加密货币。JavaScript代码从组控制并包含挖掘池的外部站点下载。Radware观察到,在过去的几天里,该小组试图挖掘三种不同的硬币(Monero、Bytecoin和Electroneum),它们都基于允许通过任何CPU进行挖掘的"CryptoNight"算法。Radware见证的水池有:• 支持xmr.com–46UYXVBAPQ6USYZYBSCQTHKQWRHJEK5XYLA4RKHCGD3WNPHxNxFFBxQYETJOX6C5QZU8YIAXEXKAAQVZEX2BDCKXTHKWA• 欧盟字节币-pool.org网站–241YB51LFEUR4LVWXVLDFS4HGEUFXZEAY56RB11AS6LXXG1MEKAIW13J6XZD4NFISYG9RBERYPZ7NCK5RPTBMFE5UZEINQ• etn.nanopool.org网站–Etnk7ivxzujehf1qxyfnziczo4oha4rz8fv4yfc8c5cu1srywhvry7jfq6xnqp5ecl1liehpe3uzd3mbfaxnjfh3gksnp3sun在撰写本报告时,六天内开采了大约1000美元,大部分来自莫内罗水池。图6:加密挖掘持续性该恶意软件使用多种技术在机器上保持持久性,并确保其在Facebook上的活动是持久的。1如果用户试图打开"扩展"选项卡删除扩展,高防cdn哪里好,恶意软件会关闭它并阻止删除。 2该恶意软件从C2下载URI Regex并阻止试图访问这些模式的用户。下面的链接展示了这些恶意软件如何阻止用户访问Facebook和Chrome清理工具,甚至阻止用户编辑、删除帖子和发表评论。• https://www.facebook.com/ajax/timeline/delete*• https://www.facebook.com/privacy/selector/update/*• https://www.facebook.com/react_composer/edit/init/*• https://www.facebook.com/composer/edit/share/dialog/*• https://www.facebook.com/react_composer/logging/ods/*• https://www.facebook.com/ajax/bz• https://www.facebook.com/si/sentry/display_time_block_上诉/?类型=安全账户*• https://www.facebook.com/ajax/mercury/delete_messages.php*• https://www.facebook.com/ufi/edit/comment/*• https://www.facebook.com/ufi/delete/comment/*• https://www.facebook.com/checkpoint/flow*• https://dl.google.com/*/chrome_清理_工具.exe*• https://www.facebook.com/security/*/下载*•https://*。fbcdn.net网站/*.exe文件*YouTube欺诈一旦下载并执行YouTube插件,恶意软件就会试图访问URI"/php3"/youtube.php"在指挥控制中心接收命令。检索到的指令可以是观看、喜欢或评论视频或订阅页面。Radware认为,该集团正试图从YouTube获得付款,增加带宽ddos防御,尽管我们没有看到任何高点击率的视频。来自C2的指令示例:{"结果":[{"id":"5SSGxMAcp00","type":"手表","name":"Sanars\u0131n animasyon yap\u0131lm\u0131\u015f | Da\u011f k\u0131za\u011f\u0131安卡拉","时间":"07.05.2018 17:16:30"},{"id":"aulgemcza","start":"47","完成":1547,"type":"喜欢","name":"DJI幻影3萨希尔","时间":"2018年5月7日17:19:38"},{"id":"aulgemcza","type":"手表","name":"DJI幻影3萨希尔","时间":"2018年5月7日17:30:25"}]}[你可能还喜欢:网络威胁联盟-阻止攻击者的踪迹]恶意软件防护零日恶意软件利用复杂的规避技术,什么是高防cdn,这些技术通常绕过技术人员研究的现有保护措施。奈杰利菲,这是一个雷达在一个良好的保护网络中识别出来的,尽管有好几种安全解决方案,国外高防cdn,但一直没有被发现。Radware的机器学习算法分析了这个大型组织的通信日志,关联了多个指标,并阻止了来自受感染机器的C2访问。Radware的云恶意软件保护服务提供了多种功能。•使用机器学习算法检测新的零日恶意软件•通过与现有保护机制和防御层集成,阻止新的威胁•报告组织网络中的恶意软件感染尝试•审核针对新漏洞利用的防御措施并识别漏洞随着这一恶意软件的传播,该组织将继续尝试找出利用被盗资产的新方法。这些组织不断制造新的恶意软件和变种来绕过安全控制。Radware建议个人和组织更新他们当前的密码,并且只从可信来源下载应用程序。图7:解决方案架构图,概述了Radware如何绕过安全Web网关识别恶意软件妥协指标错误的浏览器扩展已报告给适当的一方,并已将其删除。阅读"2017-2018全球应用与网络安全报告"了解更多信息。立即下载

版权保护: 本文由 DDOS防御专家 原创,转载请保留链接: http://www.ddosgb.com/ddos/50104.html

DDoS防御专家简介孤之剑
国内资深白帽子二十人组成员,前BAT资深网络安全工程师,知名网络安全站点板块大神,每年提交Google及微软漏洞,原sina微博负载插件开发者,现在整体防御复合攻击长期接受1-4.7T攻击,CC防护自主开发指纹识别系统,可以做到99.9999%的无敌防御。
  • 文章总数
  • 6777887访问次数
  • 建站天数

    DDOS防御

    ddos防御

    cc防护

    web安全

    高防服务器

    高防cdn


    QQ客服

    400-0797-119

    X