DDOS防御专家-提供超强DDoS高防/CC防护/大流量清洗服务!
当前位置:主页 > DDOS防御 > 正文

高防ddos_神武高防宝宝_限时优惠

11-01 DDOS防御

高防ddos_神武高防宝宝_限时优惠

最近几个月,PandaLabs关于使用远程桌面协议(RDP)安装的恶意软件的报告有了显著的上升。每天,我们都会看到数千次利用勒索软件、比特币挖掘劫持系统等进行的感染尝试,它们都有一个共同点:在获得使用暴力方法获得的凭证进入后,通过RDP进行访问。RDP有很多有用的用途,但不幸的是,它可能成为网络罪犯的武器。我们已经谈到了RDP和勒索软件之间的共享历史,特别是在公司环境中。新发现的攻击使用相同的进入技术,但其目标与之前分析的完全不同。这一次,高防CDN可以吗,在渗透系统之后,它的重点是寻找销售点终端(POS)和ATM机。究其原因,它们是简单的终端,可以从互联网匿名攻击,出售窃取信息的经济利润很高。RDPPatcher:在黑市上出售系统访问权在本案中,暴力攻击持续了两个多月,直到2017年1月,他们找到了正确的凭证并获得了对系统的访问权限。一旦系统遭到破坏,网络罪犯就试图用恶意软件感染它。他们发现他们的尝试被适应性防御阻止,这时他们修改了恶意软件并再次尝试,防御ddos攻击思路,但没有成功。由于Panda的高级网络安全解决方案不是基于签名的,也不依赖先前的恶意软件知识来阻止它,修改恶意软件并没有改变结果。从恶意软件分析可以清楚地看出攻击的目的。两个文件的哈希值如下:MD5 d78be752e991ccbec16f11e4fc6b2115SHA1 4C9D2C98F22EFAB50EE217C1A0D872E93CE541MD5 950e8614db5c567f66d0900ad09e45acSHA1 9355A60DD51CFD02A2921444E92E012E25D0A6BE它们都是在Delphi上编程并用Aspack打包的。拆开包装后,我们发现它们非常相似。我们分析了最新版本:(950e8614db5c567f66d0900ad09e45ac)。此特洛伊木马程序检测为Trj/RDPPatcher.A修改Windows记录以更改RDP验证的类型。以下是系统修改的条目:HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP Tcp/v用户身份验证/t REG\U DWORD/d 1HKEY U LOCAL U MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP Tcp"/v用户身份验证/t注册表DWORD/d 1并删除系统中存在的以下条目:"HKEY U LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policys\System"/v法律通知选项/f"HKEY U LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System"/v法律通知文本/f随后,ddos有专门的防御设备,它将另一个文件(MD5:78D4E9BA8F641970162260273722C887)留在%TEMP%目录中。此文件是应用程序rdpwrap的一个版本,通过runas命令运行,参数为"-i–s",以便激活系统上的并发RDP会话。然后,它继续分析机器并获取其信息:用户名设备名称设备已打开的时间量操作系统版本语言虚拟机记忆处理器名称处理器核数处理器速度防病毒然后它连接到控制服务器(C&C服务器)以访问一个服务列表,这些服务用于测量连接到Internet的速度,然后保存与上载和下载速度相关的数据。接下来它会检查计算机上安装了哪些防病毒软件。与我们习惯于看到的大多数恶意软件攻击相反,它不会这样做来删除已安装的防病毒软件或改变其行为。它只是收集数据。这是我们从二进制文件中提取的列表及其搜索的进程:见表1一旦软件开始对不同类型的计算机进行分析,它就会继续搜索。它主要寻找POS、ATM和在线赌博软件。下面是它搜索的软件列表的一小部分(总共有几百个):见表2它还梳理了浏览历史,其中包含另一个列表,按兴趣区域分类:见表3 恶意软件会在浏览器历史记录中搜索这些链。它们被用来根据所使用的软件和访问的网页来"标记"计算机。一旦完成从系统收集的数据,它就向C&C提出网络请求。为了隐藏通过网络流量向检测系统发送的信息,它首先使用AES128密码对其进行加密。"8c@兆焦耳}||v*{hGqvYUG",cc防御专家,嵌入分析样品中。然后在base64的基础上进行编码。加密请愿书的例子。用于此恶意软件示例的C&C服务器位于直布罗陀:结论正如我们所看到的,攻击者要做的第一件事就是清点计算机,汇编所有类型的信息(硬件、软件、访问的网页、Internet连接速度),并安装一个允许同时进行多个RDP会话的应用程序。在任何时候都不会发生凭证被盗或任何其他数据被盗的情况。对此的解释很简单:这些攻击背后的网络罪犯以很低的费用出售对这些计算机的访问权。由于掌握了来自每个系统的大量数据,他们可以向其他专门从事不同领域的网络犯罪集团出售访问权限。例如,专门窃取卡数据的团伙可以用POS软件获取电脑,防御ddos免费,等等。网络犯罪确实已经成为一种有利可图的诈骗。

版权保护: 本文由 DDOS防御专家 原创,转载请保留链接: /ddos1/48540.html

DDoS防御专家简介孤之剑
国内资深白帽子二十人组成员,前BAT资深网络安全工程师,知名网络安全站点板块大神,每年提交Google及微软漏洞,原sina微博负载插件开发者,现在整体防御复合攻击长期接受1-4.7T攻击,CC防护自主开发指纹识别系统,可以做到99.9999%的无敌防御。
  • 文章总数
  • 6570905访问次数
  • 建站天数

    QQ客服

    400-0797-119

    X