DDOS防御专家-提供超强DDoS高防/CC防护/大流量清洗服务!
当前位置:主页 > 高防服务器 > 正文

云盾高防采集_ddos防御xinng_怎么防

云盾高防采集_ddos防御xinng_怎么防

GandCrab是2018年最流行的勒索软件家族之一。在这篇博文中,他参加了一个SANS网络广播,VMRay产品经理rohanviegas讨论了GandCrab用来加密用户文件的基本技术和基本的检测方法,这些技术可以为抵御攻击提供第一道防线。自2018年1月首次亮相以来,GandCrab凭借其勒索软件即服务(RaaS)模式赢得了忠实追随者。RaaS使用经验丰富的恶意软件作者设计的勒索软件,如何设置防御cc,使"附属公司"以适度的成本和最小的努力进入利润丰厚的勒索领域。即使是那些没有什么专业技术的人,只要点击几下就能发动攻击。GandCrab提供了加密目标组织的关键数据文件的方法,如果受害者延迟支付赎金,要求支付的赎金会升级,并通过支付完成后提供的解密密钥恢复受害者对其数据的访问。"别担心,我有备份"SANS分析师Jake Williams说,许多安全团队低估了他们对勒索软件的脆弱性,认为一个有效的备份策略就是足够的保护,而不是这样,威廉姆斯说。"人们认为他们的备份是完美的,但事实很少如此。磁带和驱动器出现故障。人们会犯错。"意想不到的事情会发生,"他说我们的一位客户发现,在平衡电子邮件服务器负载的同时,所有姓氏以E开头的用户(包括一些董事会成员)上一年的所有电子邮件都被删除了。"https://306dlv9g2c4fl4za451pdg1b-wpgengine.netdna-ssl.com/wp-content/uploads/2018/11/Backups_Dissecting-Ransomware.mp4但还有一个更大的问题。GandCrab通过系统删除备份文件和快照来禁用受害者的备份和恢复功能。这使得受害者除了支付赎金外别无选择。付还是不付?作为一家保安公司,VMRay的立场是永远不付赎金。一个原因是不能保证攻击者会在支付赎金后解密文件。不过,Jake Williams说,与他共事过的许多组织决定无论如何都会付费,而且大多数公司实际上都会收回他们的文件。""我们在建议是否支付的最大因素是勒索软件作者的声誉,"他解释说不是所有的作者都是优秀的程序员。一些恶意软件变体具有严重的逻辑错误。即使攻击者想帮助您解密,他们也可能无法做到。"https://306dlv9g2c4fl4za451pdg1b-wpgengine.netdna-ssl.com/wp-content/uploads/2018/11/Pay-or-Not_Dissecting-Ransomware.mp4除了支付赎金或丢失无法解密的文件外,还有许多其他与攻击相关的风险和成本。这些可能包括:在关键数据无法访问期间,利润中心和高价值贡献者之间的生产力损失。对过度工作的安全团队造成的干扰,他们需要留出日常任务和战略项目来调查入侵并管理数据恢复。弥补长期被忽视的安全漏洞和抵御重复的勒索软件攻击(通常发生在第一次入侵的60到90天内)的巨大成本。此外,损害敏感和/或受监管数据的违规行为可能会引发法律责任、监管处罚和合同义务。负面宣传会损害客户关系。对政府的攻击可能会削弱公众的信心,就像亚特兰大市政府大部分人无法使用其计算机系统一样。https://306dlv9g2c4fl4za451pdg1b-wpgengine.netdna-ssl.com/wp-content/uploads/2018/11/Liability_Dissecting-Ransomware.mp4考虑到所有这些成本,Williams强调了首先防止文件被加密的重要性。"考虑到这一目标,了解GandCrab攻击是如何展开的,以及您可以立即采取哪些措施来提高防御能力,这一点很重要。"解剖甘地蟹杀戮链截至2018年7月,GandCrab的多个软件版本已经在流通,VMRay研究团队利用VMRay Analyzer绘制出攻击的基本阶段,这些攻击在所有四个版本中都很常见,同时还注意到了与v2、v3和v4相关的变体,ddos攻击和防御实验报告,本文分别对这两个阶段及其组成部分进行了总结。分发恶意软件在2018年7月的网络直播时,电子邮件附件和URL是GandCrab作者最常用的交付方式。电子邮件的首选选项包括压缩的JavaScript文件、压缩的JavaScript拖放器和文档文件,例如带有嵌入宏的pdf和Word文档。https://306dlv9g2c4fl4za451pdg1b-wpgengine.netdna-ssl.com/wp-content/uploads/2018/11/Distribution-Encrypted-Word_Dissecting-Ransomware.mp4对于URL,有多个漏洞利用工具包,mvc框架能防御cc攻击吗,这些工具通过用户只需单击一个受感染的链接就可以传播恶意软件。然而,这种方法要求用户拥有未修补版本的浏览器或Flash播放器。否则,攻击就行不通了。下载有效载荷下一步是连接到远程命令和控制服务器并下载恶意负载。旧版本的GandCrab依赖于硬编码的URL进行连接,但这些可能会被静态检测工具发现,尤其是当URL被列入黑名单时。在最近的GandCrab版本中,动态创建url增强了秘密性并有助于避免被发现,而且有些版本根本不连接到C2服务器。https://306dlv9g2c4fl4za451pdg1b-wpgengine.netdna-ssl.com/wp-content/uploads/2018/11/C2-Server_Dissecting-Ransomware.mp4收集系统详细信息并发送到C&C服务器收集的信息可能与用户的域、IP地址、处理器名称和体系结构、防病毒程序、键盘布局、驱动器和其他详细信息有关。准备加密加密首先生成必要的加密密钥并关闭可能阻止加密的关键进程(例如outlook.exe).GandCrab使用公私密钥对来管理加密和解密。为每个受害者生成了唯一的加密密钥,Gandcrab还关闭了可能影响其加密重要文件能力的进程。例如,如果WinWord进程是打开的,并且对一个重要的Word文档有打开的句柄,恶意软件将无法加密此文档。https://306dlv9g2c4fl4za451pdg1b-wpgengine.netdna-ssl.com/wp-content/uploads/2018/11/Closing-Processes_Dissecting-Ransomware.mp4加密文件并删除卷影副本搜索相关的文件共享和存储设备GandCrab会对攻击者指定的文件类型进行加密。通常,这些文件包括Microsoft Office文档、PDF文件、图像和视频文件等:任何对受害者可能很重要的文件。然后删除卷影副本,以便受害者无法从最近的备份或快照。把赎金单给我表明用户的文件已经被加密,ddos防御开原工具,在赎金支付之前不会被释放。(GandCrab目前接受两种形式的加密货币:比特币和破折号)。在某些情况下,受害者有机会解密他们选择的一个或两个文件,以确认攻击者可以完成承诺的释放人质文件。在这个多阶段的过程中,GandCrab采用了许多旨在阻止探测和事件响应的隐形功能。例如,一种称为API锤击的沙箱规避技术旨在使沙箱分析在发现恶意行为之前超时。在早期的GandCrab实现中,恶意软件通过将自身添加到Autorun中来确保持久性。如果受害者怀疑出了问题并关闭了系统,加密过程将在系统重新启动时恢复。加强保护:从四种行之有效的检测方法开始对于新近专注于对抗勒索软件流行的SOC团队,Jake Willams提出了四种恶意软件检测方法,SOC团队可以使用常用的工具和免费的工具,以极低的成本快速实施。警报vssadmin.exe文件甘地克拉调用vssadmin.exe文件擦除干净的卷影卷副本和快照,以便目标组织无法从最近的备份中恢复加密数据。这是加密过程开始前的最后准备步骤之一。警报vssadmin.exe文件,特别是当它不在计划中或不与系统管理员ID绑定时,海外游戏ddos防御,可能会给您足够的警告,以中断攻击并将损害降至最低。对Tor使用情况发出警报。大多数公司网络很少或从不使用Tor网络。相比之下,GandCrab可能在目标环境中实现一个Tor连接,以传输加密密钥并方便支付赎金。TOR可以让你迅速发现犯罪行为。查找文件写入量是否过大这可能是文件被加密的线索。通过监视IOPS,您可以区分哪些是常规活动(如定时备份和批处理操作),哪些是非法的。监视关键数据库进程因为GandCrab关闭了可能阻止攻击的进程,所以对无明显原因死亡的进程发出警报可以帮助标记潜在的勒索活动。Williams注意到,一个警惕的客户机看到一个进程在文件写入被触发的同时离线,于是在30分钟内决定关闭数据库服务器,结果证明数据库服务器受到攻击。他说,"由于他们的快速行动,他们能够节省75%的庞大数据库,并在帮助下,恢复其他25%。"要了解更多关于GandCrab的信息,请查看完整的网络广播"剖析勒索软件攻击",或者深入研究VMRay关于GandCrab进化的博客文章。关于Rohan ViegasRohan为VMRay带来了超过12年的产品开发和管理经验。在加入VMRay之前,他曾担任惠普企业(Hewlett-Packard Enterprise)的产品经理,负责管理包括网络管理和安全软件在内的一系列产品。在VMRay,罗汉的职责包括公关

版权保护: 本文由 DDOS防御专家 原创,转载请保留链接: /ddos/61198.html

DDoS防御专家简介孤之剑
国内资深白帽子二十人组成员,前BAT资深网络安全工程师,知名网络安全站点板块大神,每年提交Google及微软漏洞,原sina微博负载插件开发者,现在整体防御复合攻击长期接受1-4.7T攻击,CC防护自主开发指纹识别系统,可以做到99.9999%的无敌防御。
  • 文章总数
  • 8159098访问次数
  • 建站天数

    QQ客服

    400-0797-119

    X