DDOS防御专家-提供超强DDoS高防/CC防护/大流量清洗服务!
当前位置:主页 > DDOS防御 > 正文

云盾_高防直连vps_限时优惠

11-08 DDOS防御

云盾_高防直连vps_限时优惠

自去年秋天以来,SophosLabs一直在跟踪一名威胁参与者的活动,该行为与针对土耳其大型组织的大量恶意垃圾邮件攻击有关。端点安全工具似乎没有很好地检测到这些攻击及其恶意组件。攻击者之所以能成功地躲过雷达,一个原因可能是他使用了一种不常见的方法来传递有效载荷:Excel公式注入。这一过程在大约一年前的一篇博客文章中有描述。这一披露可能激发了这个威胁行为人的灵感。在几个月内,宝塔cc4层防御,到2018年9月,我们开始看到第一批使用这种方法的恶意软件活动。一些早期的活动记录在SANS互联网风暴中心发布的博客中,但这些活动背后的攻击者似乎没有受到影响。袭击一直持续到今天。威胁行为人主要以土耳其境内的受害者为目标,vb防御ddos,使用以土耳其语编写的恶意垃圾邮件邮件。在这场运动中,土耳其语和土耳其语的信度都是作者提出的另一个目标。但这种攻击方法可能不会无限期地留在图尔基耶-库姆胡里埃蒂边界内。成功的想法最终渗透到整个犯罪生态系统中,虽然这可能不是罪犯最有效的工具,但他们仍然可以像工具箱中的任何其他工具一样使用它。最初,威胁参与者用Adwind远程访问特洛伊木马程序感染了受害者,但最新的活动提供了FareIt特洛伊木马的有效负载,但在本文中,我们将检查此攻击者使用的感染方法,而不是攻击提供的负载。感染过程攻击是使用包含恶意内容作为附件的电子邮件来执行的。在整个攻击的生命周期中,我们看到了多种方法,其中最常见的是Excel公式注入。网络钓鱼邮件这些消息惊人地相似,具有相同的结构,但消息正文的精确文本会随着活动的不同而变化,如以下示例所示:旧样式邮件示例1旧样式邮件示例2旧样式邮件示例3下面是一个malspam正文的粗略翻译:你好在附件一,我们将等待你方26份粮食原料订单的报价。你的信息你真的。。。。每个观察到的消息遵循相同的结构,只是项目的数量不同,并且表达式被替换为类似的备选方案。后来的分析显示,这些电子邮件是由一个构建器从预定义的句子成分中随机选择的,linux如何防御ddos攻击,这解释了它们的相似性。最新的2019年4月至5月的电子邮件信息比之前的更为隐晦,可能是因为威胁演员试图让它看起来不那么机械。一个在正文文本中具有更多细节和更大随机性的较新样式消息的示例信息文本的粗略翻译:7件材料,文件名是名称,我在等你的回答。,我希望一切都清楚了。,谨致问候。,很有意思的是,威胁参与者甚至都不想让钓鱼消息变得复杂;它们更倾向于这类消息的简单化。恶意垃圾邮件携带一个恶意附件,下载攻击的最后阶段。在攻击的整个生命周期中,我们观察到了两种执行下载的不同方法。方法一:用PowerShell下载器进行Excel公式注入恶意文件会附加到如下电子邮件中:带有附件的垃圾邮件电子邮件包含逗号分隔值(CSV)文件附件,这是Excel本机支持的基于文本的工作簿格式。乍一看,这些文件只包含很多垃圾文本字符串。然而,向下滚动到工作表的中间,真正重要的内容就会显现出来:事实证明,当Excel打开这些文件时,它将垃圾数据解释为单元格内容,直到它到达高亮显示的行。前导的多个连字符欺骗Excel将这一行视为电子表格公式。在本例中,"公式"直接调用命令shell并执行下载有效负载的PowerShell代码段。不仅仅是连字符/减号强制将行作为Excel公式计算。我们观察到多种版本使用了加号、减号和等号数学运算符的组合,其中任何一种都将导致Excel在文件中的任何位置将遵循这些符号的内容视为公式。这个方法虽然粗略有效,但并非万无一失。当目标打开这样的文件时,Excel将显示两个警告对话框,而不是一个。第一个问题询问用户是否希望Excel自动更新"链接"(即公式)。如果用户在使用另一个命令来执行另一个命令时,用户单击了另一个命令来执行另一个命令,命令提示符如果用户在此对话框中单击Yes,Excel将执行该命令,在上面的示例中,该命令将触发PowerShell下载并执行恶意负载。下载程序脚本只指定服务器名称,而不是完整的URL。因此,下载服务器返回一个默认文件,在大多数情况下,我们观察到的文件名为收藏夹.ico. 但是这个文件是一个javajar包,而不是其后缀所建议的图标文件。方法二:嵌入Excel PowerShell下载器的Word文档另一种分发方法是使用附加到malspam的Word文档,其中包含一个嵌入的excelxls电子表格文件。嵌入对象使用与上一节中描述的相同的公式注入技术。方法三:嵌入Excel bitsadmin downloader的Word文档我们在调查这些攻击的过程中发现了一个恶意Word文档,该文档实现了与前一个示例相似的方法。一个区别是恶意Word文档包含一个扩展名为XLS的嵌入式CSV文件。另一个区别是它没有使用PowerShell下载程序脚本。相反,该命令生成了Windows bitsadmin工具来下载负载。方法四:使用DDE命令的Word文档我们发现了一个与使用更传统方法的下载服务器相关的单个文件:DDE命令。文档主体包含一个嵌入式命令字段,该字段执行命令shell,免费服务器ddos防御,并使用certutil工具下载有效负载。字段代码通常是隐藏的,但如果更改了正确的设置,则可以在文档正文中看到这些代码。如果用户单击"是"按钮,Word将显示另一条有关生成命令shell的警告消息。如果受害者单击Yes按钮,命令shell下载并执行有效负载,一个恶意的JAR归档文件。你让你的建筑工人到处乱扔在研究这篇文章的材料时,我们发现另外一些Windows程序托管在两台服务器上,这些服务器用于托管有效负载恶意软件。这些文件不是由Excel文件下载的,但它们一定是由威胁参与者放在服务器上的。我们认为没有理由把它们存储在服务器上。所讨论的可执行文件原来是生成恶意附件文件和随机恶意垃圾邮件消息的"构建器"程序。这些工具还具有smtpmailer功能,可以发送带有附件的恶意垃圾邮件。构建器(如下所示)将硬编码的下载服务器名称嵌入到文档中,并随机化其余元素。标题栏标题"MailCi"("Mail Us",土耳其语)表示其用途。我们还在文件中看到了以下IP地址URL:94.23.170.118/SmtpV3/index.php?al=Ayarlar公司94.23.170.118/SmtpV3/index.php?al=邮件94.23.170.118/SmtpV3/index.php?al=smtp94.23.170.118/65465465/index.php?al=Ayarlar公司94.23.170.118/65465465/index.php?al=smtp94.23.170.118/65465465/index.php?al=邮件它用于嵌入在构建器中的mailer函数中活动中使用的许多域解析到此IP地址。显然,kanglecc防御策略,威胁参与者使用服务器发送网络钓鱼消息。这部分生成器代码生成了公式注入代码:它们都包含以下Visual Basic项目路径:D: \HACKTOL\SOURCM\\u PROJELERIM\SMTP帴o帴GONDER\OTO_邮件_冈德里希.vbp短语"OTO GONDERICI"从土耳其语翻译为"auto sender",这也很好地概括了这个工具的功能。随着更多的挖掘,我们发现了一个旧版本的构建器,编译于2018年10月,雅致地自称为SEXPLOIT:此版本包含Visual Basic项目路径D:\HACKTOL\SOURCM\\u PROJELERIM\SPAM\u BUILDER\六边形.vbp-它的构建路径显示了与另一个版本相同的目录结构!这个版本的构建器在mailer部分使用了IP地址54.36.212.133。在SANS-ISC博客中报告了这个IP地址,因为许多早期的下载域都解析为这个IP地址。它还包含一个句子片段列表,它将这些片段用作恶意垃圾邮件邮件正文中的社会工程元素:它使用了一个类似的模式来注射配方奶,就像我们以前看到的一样……但下载方法不同。Word附件使用bitsadmin下载方法,而不是Excel公式:目标感染企图的目标大多是(但不限于)土耳其企业。威胁的参与者不是选择性的,目标涵盖从工业电子到卫生产品到投资银行的所有工业部门。所有被观察到的信息都包含土耳其文本,甚至那些针对其他国家公司的信息也是如此。这些感染运动并没有做好充分的准备和针对性。这些消息是由生成器随机生成的,不是为目标定制的。在许多情况下,威胁参与者只是简单地将目标组织的info@address地址。服务器基础设施最新的服务器托管一个简单的文件上传服务器端脚本来管理内容和存储

版权保护: 本文由 DDOS防御专家 原创,转载请保留链接: /ddos1/51433.html

DDoS防御专家简介孤之剑
国内资深白帽子二十人组成员,前BAT资深网络安全工程师,知名网络安全站点板块大神,每年提交Google及微软漏洞,原sina微博负载插件开发者,现在整体防御复合攻击长期接受1-4.7T攻击,CC防护自主开发指纹识别系统,可以做到99.9999%的无敌防御。
  • 文章总数
  • 6932374访问次数
  • 建站天数

    QQ客服

    400-0797-119

    X