DDOS防御专家-提供超强DDoS高防/CC防护/大流量清洗服务!
当前位置:主页 > CC防护 > 正文

国内高防cdn_腾讯云ddos攻击防御_精准

06-15 CC防护

国内高防cdn_腾讯云ddos攻击防御_精准

CyberX发现了一项新的大规模网络侦察行动,云左的高防cdn,目标是乌克兰境内的广泛目标。因为它通过远程控制PC麦克风来窃听敏感的对话——为了偷偷地"窃听"目标——并使用Dropbox存储过滤后的数据,CyberX将其命名为"BugDrop操作"操作错误删除:目标CyberX已经确认至少有70名受害者在包括关键基础设施、媒体和科学研究在内的一系列部门成功地锁定了目标。该行动试图从目标中捕捉一系列敏感信息,包括对话录音、屏幕截图、文件和密码。与视频录制不同的是,用户只需将磁带放在摄像机镜头上就可以屏蔽电脑的麦克风,而不通过物理方式访问并禁用电脑硬件,实际上是不可能屏蔽电脑麦克风的。大部分目标位于乌克兰,但也有俄罗斯境内的目标,以及沙特阿拉伯和奥地利的少数目标。许多目标位于自称分离主义的顿涅茨克和卢甘斯克,乌克兰政府将这两个国家列为恐怖组织。迄今为止,CyberX确定的BugDrop操作目标包括:为油气管道基础设施设计远程监控系统的公司。一个国际组织,负责监测乌克兰境内关键基础设施的人权、反恐和网络攻击。设计变电站、输气管道和供水厂的工程公司。科学研究机构。乌克兰报纸的编辑。BugDrop操作是一个组织良好的操作,它使用复杂的恶意软件,并且似乎得到拥有大量资源的组织的支持。特别是,该操作需要一个庞大的后端基础设施来存储、解密和分析每天从目标捕获的数GB的非结构化数据。此外,还需要一个大型的人力分析师团队对捕获的数据进行手动排序,并手动和/或使用分析等大数据进行处理。最初,CyberX看到了BugDrop行动与ESET在2016年5月发现的名为"地面诱饵行动"的网络监视行动之间的相似之处。然而,尽管黑客在这两次行动中使用的战术、技术和程序(TTP)有一些相似之处,但"BugDrop"行动的TTP明显比先前行动中使用的更为复杂。例如,它使用:Dropbox for data Exfiltering,这是一个聪明的方法,因为Dropbox流量通常不会被公司防火墙阻止或监视。反射DLL注入,一种先进的恶意软件注入技术,高防CDN可以吗,BlackEnergy在乌克兰电网攻击和Duqu对伊朗核设施的Stuxnet攻击中也使用过。反射DLL注入在不调用正常WindowsAPI调用的情况下加载恶意代码,从而在代码加载到内存之前绕过对代码的安全验证。加密的DLL,因此避免了普通防病毒和沙箱系统的检测,因为它们无法分析加密的文件。合法的免费网站托管其指挥和控制基础设施。C&C服务器是攻击者的一个潜在陷阱,因为调查人员通常可以使用通过免费工具(如whois和PassiveTotal)获得的C&C服务器注册详细信息来识别攻击者。另一方面,免费的网络托管网站几乎不需要注册信息。"BugDrop行动"使用一个免费的网络托管站点来存储核心恶意软件模块,该模块可以下载给受感染的受害者。相比之下,cc攻击能防御住吗,Groundbait攻击者注册并为自己的恶意域和IP地址付费。BugDrop操作通过有针对性的电子邮件钓鱼攻击和嵌入在Microsoft Office附件中的恶意宏感染其受害者。它还使用巧妙的社会工程来诱使用户在宏尚未启用的情况下启用宏。CyberX是如何调查BugDrop行动的CyberX的威胁情报研究小组最初在野外发现了"BugDrop"行动恶意软件。该团队随后对代码进行了逆向工程,以分析其各种组件(钓鱼攻击中使用的诱饵文档、滴管、主模块、麦克风模块等),以及恶意软件如何与其C&C服务器通信。该团队还需要对恶意软件如何生成加密密钥进行逆向工程。按地理分布的目标编制日期这些模块是在ESET宣布存在Groundbait行动一个月后编译的。如果这两个操作确实相关,这可能表明该组决定需要更改其ttp以避免检测。技术细节恶意软件体系结构的高级视图1感染法用户通过精心设计的网络钓鱼电子邮件成为攻击目标,并提示用户打开包含恶意宏的Microsoft Word诱饵文档。如果宏被禁用,什么盾防御cc好,系统将显示一个对话框(如下),提示用户启用宏。该对话框设计良好,似乎是一个真实的Microsoft Office邮件。对话框中的俄文文本:"ееимаие!办公室。Необходимо включить Макросы для корректного отображения содержимого документа"翻译为:"注意!该文件是在更新版本的Microsoft Office程序中创建的。必须启用宏才能正确显示文档的内容。"根据文件元数据,编写清单的语言是乌克兰语,但文件的原始语言是俄语。诱饵文件创建者的创建者名为"Siada"上次修改日期为2016-12-22 10:37:00文件本身(下图)显示了一份军人名单,上面有生日和住址等个人详细资料:有军人个人信息的诱饵文件2主下载程序主下载程序是通过一个恶意的VB脚本从诱饵文档中提取出来的,该脚本从temp文件夹中运行它。下载器的检测率很低(54个AV产品中只有4个检测到)。三。滴管-第0阶段下载程序EXE的图标是从俄罗斯社交媒体网站复制的(?id=90195)。这个图标本身就是一个拿乌克兰人开玩笑的迷因().滴管图标俄罗斯社交媒体网站,从那里获得了dropper EXE的图标dropper在其资源中存储了2个dll;它们的异或处理方式使得当前字节与前一个字节进行异或。这种技术比普通的XOR要好得多,因为它产生的字节分布看起来不像普通的可移植可执行(PE)文件加载程序。这有助于混淆文件,以便防病毒系统不会检测到它。DLL将解压缩到app data文件夹中:%用户配置文件%AppDataroamingmicrosoftwsa.nlp–第1阶段%用户配置文件%AppDataRoamingMicrosoftProtect.nlp.hist–第2阶段第一个阶段被执行并使用反射DLL注入加载DLL。4滴管–第1阶段–实现持续性内部名称:loadCryptRunner.dll编制时间:2016年12月12日星期一10:09:15负责持久性和执行下载程序DLL,阶段1滴管在注册表项下注册自己:HKEY\U CURRENT\U用户软件MicrosoftWindowsCurrentVersionRundrvPathRUNDLL32"%USERPROFILE%AppDataRoamingMicrosoftVSAklnihw22.nlp",运行程序通信DLL也是使用反射DLL注入加载的。5滴管-第2阶段-主模块下载器内部名称:埃斯米娜.dll编制时间:2016年10月10日星期一14:47:28这个DLL的主要目的是下载主模块主模块托管在一个免费的网站上,网址如下:windows问题-报告网站88.net[注意:不要访问此恶意网站。]在公共数据源中找不到有关此URL的任何信息。尝试直接访问URL会导致"HTTP/1.1 404 Not Found"消息。似乎下载模块需要手动批准,这表明需要人工分析人员或处理程序。然后下载主模块并使用反射DLL注入将其加载到内存中。6主模块主模块下载分配给每个受害者的各种数据窃取插件,宝塔cc防御防火墙参数设置,并执行它们。它还收集本地存储的被盗数据并上传到Dropbox。主模块包含许多反逆向工程(RE)技术:检查是否存在调试器。检查进程是否正在虚拟化环境中运行。检查ProcessExplorer是否正在运行。ProcessExplorer用于将隐藏在合法进程中的恶意软件标识为DLL,它是DLL注入的结果。检查WireShark是否正在运行。WireShark可用于识别源自您计算机的恶意流量。它在注册表项下注册自己:HKEY当前用户软件Microsoft Windows当前版本运行列表RUNDLL32"%USERPROFILE%appdataroamingmicrosoftsdniodonk18.dll",空闲7升降箱机构服务器上有3个目录:obx–包含主模块使用的模块ibx–包含插件上传的过滤输出rbx-包含有关已连接客户端的基本信息攻击者检索到存储的数据后,将从Dropbox帐户中删除。注册帐户的Dropbox用户具有以下详细信息:姓名:P*****电子邮件:P********@邮件.ru8加密机制数据窃取插件将其所有输出存储在:%USERPROFILE%AppDataRoamingMedia中在被主模块发送到Dropbox之前,这些文件用Blowfish加密。Blowfish加密密钥是客户端ID。9数据窃取插件文件收集器:搜索存储的各种文件类型

版权保护: 本文由 DDOS防御专家 原创,转载请保留链接: /ddos/69767.html

DDoS防御专家简介孤之剑
国内资深白帽子二十人组成员,前BAT资深网络安全工程师,知名网络安全站点板块大神,每年提交Google及微软漏洞,原sina微博负载插件开发者,现在整体防御复合攻击长期接受1-4.7T攻击,CC防护自主开发指纹识别系统,可以做到99.9999%的无敌防御。
  • 文章总数
  • 9233174访问次数
  • 建站天数

    QQ客服

    400-0797-119

    X