DDOS防御专家-提供超强DDoS高防/CC防护/大流量清洗服务!
当前位置:主页 > 高防服务器 > 正文

香港高防ip_海外cdn高防_秒解封

香港高防ip_海外cdn高防_秒解封

概述自2013年末以来,勒索软件活动呈增长趋势。在这些攻击中,参与者加密硬盘上的文件,并要求支付赎金以解密文件。其中许多攻击都集中在利用网络钓鱼消息作为传递媒介的客户端漏洞上。自2015年12月以来,新的勒索软件入侵一直依赖于服务器端的妥协。这些妥协被用来交付samsamsam勒索软件家族。截至2016年4月底,SAMAM活动至少针对58个组织,包括医疗机构工业.SamSam活动与SamSam家族相关的样本由4个主要样本组成。这些是:山姆-authoromikoponi对原始勒索软件的名称-SamSam的第二个主要变体。大部分代码库都是从SamSam演变而来的,勒索软件现在将用户引导到一个用于付款.DelFileType-用于删除主机上文件的工具。原始示例包括SysInternals sdel工具,用于从主机.SamDdec-勒索后用来解密文件的工具已付。数字1: SamSam活动时间轴SAM参与者目前依赖于Tor隐藏服务上的网页与受害者组织进行交互。演员们要求受害者用比特币支付赎金。SamSam活动似乎开始于2015年12月9日左右,如图1中的时间轴所示。这是基于SamSam示例的编译时间,该示例包括一个调试数据库路径,路径中有"Test"。参与者继续用递增的样本号标记每个样本的PDB路径,ddos攻击防御极贵,直到样本号54,服务器没有ddos防御,其编译日期为2016年2月18日。到目前为止,受害者被送到Wordpress网站索取赎金。然后,演员开始使用Tor作为赎金网站,如下图2所示,早在2016年2月23日。演员们早在2016年3月1日就开始给勒索软件MIKOPONI打电话。图2:SamSam Ransom页面SamSam演员似乎将源代码存储在可移动驱动器上。这个结论是基于在编译的恶意软件中发现的PDB字符串得出的。SamSam可执行文件中PDB字符串的一些示例包括:d:\SAM\clients\Sam41\SAM\obj\Release\samsam.pdb公司f: \SAM\clients\test\enc\SAM\obj\Release\samsam.pdb公司i: \SAM\Servers\SAM洋葱no check lock file enc all ext\SAM\obj\Release\米科波尼.pdbl: \SAM\Servers\SAM洋葱-Copy\SAM\obj\Release\米科波尼.pdbu: \SAM\Servers\SAM洋葱no check lock file enc all ext\SAM\obj\Release\米科波尼.pdbx: \SAM\Servers\SAM洋葱\SAM\obj\Release\米科波尼.pdb这些驱动器号是标准Windows驱动器号分配的非典型。通常,Windows操作系统会将下一个可用的驱动器号分配给新连接的可移动驱动器。如果您的计算机只有一个分配了C盘符的固定驱动器,则可移动驱动器将被分配一个盘符D。当驱动器号改变时,目录结构保持不变,这可能是可移动驱动器的证据。驱动器号D和F更为典型,但PDB字符串中的其他驱动器号是奇怪。那个安装加密的TrueCrypt容器可能会导致使用非典型驱动器号。在TrueCrypt客户机中,用户可以为安装图3: SamSam星期几历史记录基于样本汇编时间,SAM参与者似乎在1700到0100 UTC之间操作最频繁,样本早在1000 UTC编译。如果这些编译日期是准确的,这可能意味着参与者位于西方国家,很可能在UTC+0200到UTC-0400之间。演员们在周五的工作周内似乎也最活跃,有一些活动星期六。最近C0d0s0/和平活动C0d0s0 a/k/a和平行为体有着与之相关的入侵活动的悠久历史。这项活动至少可以追溯到2010年10月,当时诺贝尔和平奖网站被用来通过一项战略网络妥协来分发他们的工具,利用了火狐。从那以后至少在2015年11月,该集团一直在利用JBOSS服务器漏洞来访问目标网络。Palo Alto Networks对这一活动进行了描述。额外的C0d0s0活动由Proofpoint描述。C0d0s0参与者安装了广泛的后门,包括PlugX、Derusbi的新变种和Bergard。至少有一种情况下,C0d0s0参与者在部署SamSam工具的同一JBOSS服务器主机上运行。有媒体声称SamSam活动是C0d0s0小组的工作。在这一点上,Anomali实验室还不能直接将这种活动联系起来。虽然SamSam活动和C0d0s0活动最近都使用JBOSS漏洞,但不同的活动集似乎利用了不同的操作时间。现在差不多了互补的两套工具在一台主机上的出现和JBOSS的共享目标可能是巧合。如果有证据显示参与者与C0d0s0相关工件和SamSam相关工件交互的活动共享会话的直接实例,则与此相反。没有这样的证据呈现。竞争假设这里有一些额外的假设来解释C0d0s0和SamSam之间的关系活动SamSam活动可能来自第二个组,防御ddos产品,该组在C0d0s0参与者获得一个立足点。图4: SamSam编译时间轮SamSam活动可以是C0d0s0参与者在其正常工作职责之外的活动。这个理论是可能的。这两套活动几乎是相辅相成的。C0d0s0活动主要发生在协调世界时0300-1000小时,1200-1600小时的活动较少,还有一些非工作时间采样。这个活动更容易与亚洲大陆的时区对齐,包括中国标准时间(+0800)SAM活动通常发生在1500小时后。有两个样本(共49个)与C0d0s0组关联,符合SamSam时间配置文件。还有3个SamSam相关样本(36个样本中的一个)适合C0d0s0活动的后面部分。如果SAMAM活动是由中国的演员所为,他们在晚上好。钥匙假设检验有两个关键假设支持这一分析,高防cccdn,得出结论风险:我们假设样本的编译时间尚未修改。假设样本编译的主机具有准确的日期/时间设置。另一个关键假设是C0d0s0样本已正确归属于一个参与者组。类似地,SamSam样本正确地归属于一个actor组。我们相信这两个假设对结论。最后,作为此分析的一部分使用的C0d0s0活动绝对是actors活动的一个子集。这种活动的抽样可能是有偏差的,而一整套活动将导致不同的结果结论。免费白皮书hbspt.cta.负荷(458120,防火墙防御ddos攻击吗,'ff5685c6-716a-440e-9035-FC032882466',{});关于作家谢尔米里亚隆开始在安全领域的工作后,他负责的机器在2004年的斯塔卡托入侵。在这一点上,他去了卡内基梅隆大学海因茨信息保障学院的研究生院,目前他在那里担任一个兼职职位,教授网络安全分析。他曾是软件工程研究所CERT/CC initiative和Dell SecureWorks的安全研究员,专注于应对和分析威胁情报。

版权保护: 本文由 DDOS防御专家 原创,转载请保留链接: http://www.ddosgb.com/ddos/60117.html

DDoS防御专家简介孤之剑
国内资深白帽子二十人组成员,前BAT资深网络安全工程师,知名网络安全站点板块大神,每年提交Google及微软漏洞,原sina微博负载插件开发者,现在整体防御复合攻击长期接受1-4.7T攻击,CC防护自主开发指纹识别系统,可以做到99.9999%的无敌防御。
  • 文章总数
  • 8040803访问次数
  • 建站天数

    DDOS防御

    ddos防御

    cc防护

    web安全

    高防服务器

    高防cdn


    QQ客服

    400-0797-119

    X