DDOS防御专家-提供超强DDoS高防/CC防护/大流量清洗服务!
当前位置:主页 > DDOS防御 > 正文

防ddos攻击_香港高建筑_无限

11-08 DDOS防御

防ddos攻击_香港高建筑_无限

自从我们发表了关于勒索软件MegaCortex的初步研究已经一周了。我们最初的帖子写了大约一天半,因为我们开始观察5月1日的早期疫情。今天我们有很多新信息要分享。我们知道我们上一次发布公告是在一个星期五下午(美国太平洋时间),在世界其他地区从周末开始的时候已经很晚了,运营商防ddos防御方法,但是我们觉得提醒每个人注意这个日益增长的威胁是很重要的。对不起,我们今天也要这样做。从那时起,我们意识到发生了更多的攻击,并与来自更多组织的人交谈,这些组织是攻击的目标,我们想向您介绍我们所了解到的威胁参与者的工具、技术和一些相当令人费解的小细节,这些细节的唯一目的似乎是误导。国际奥委会是什么?上周,当我们发布最初的报告时,在第11小时(接近27时),我们发现其中一个研究团队在我们的恶意软件库中进行了一次搜索,并发现了几个月前的其他样本。我们认为我们已经发现了一组早期的构建,并且没有检查每个文件,我们将整个散列列表发布到故事中,打算在必要时返回并进行更正。我们很快发现我们偶然发现了一些奇怪的东西。回想起来,我们的搜索非常简单,尽管它通常会产生有趣的结果:查询在用于签署一个MegaCortex恶意软件可执行文件的加密证书上查找一个独特的通用名称(CN)的匹配项。我们发现了一些完全不同家族的恶意软件:Rietspoof。但是在Rietspoof和大皮层样本之间没有其他明显的联系。首先,这些家庭的证书是由不同的证书颁发机构颁发的。另一方面,这两个家族实际上没有明显的代码相似性。所以我们后来把那些ioc从帖子中删除,取而代之的是我们确信是准确的散列。它看起来像是在向MegaCortex致敬。比较了MegaCortex证书和两个同名的Rietspoof证书。请注意不同的颁发者CA。在Rietspoof和MegaCortex的两个案例中,他们签名的二进制文件使用了几个证书中的一个,如何设置防御cc,在这两个案例中,其中一个证书已经被撤销,而其他的则没有。我们已经着手解冻,高防cdn免费,我们很高兴地报告说,他们已经撤销了在最初的大皮层攻击中使用的签名证书。要么是那些非常小的企业,要么是这座建筑使用了一种无法察觉的延伸魅力但对这些证书的深入研究揭示了另一个尚未回答的问题。证书使用的地址是伦敦郊区罗姆福德的真实街道地址,与英国74000多家注册企业有关。我们还看到了该地址用于签署证书的证据,这些证书用于签署完全无关的恶意软件二进制文件。从街景上看,它似乎是一个住宅区。那栋楼到底怎么回事?来自攻击目标、恶意软件共享和分析平台的更多MegaCortex样本继续出现。我们将继续在SophosLabs Github上更新我们的国际奥委会名单。批处理文件攻击编排与我们共享示例的一个攻击目标发现,攻击者利用其环境中的多个域控制器进行攻击。那个人在其中一个受损的分布式控制系统上发现了6个批处理文件,文件名只有数字1到6。这些恶意软件被交付用来编排这些批处理攻击的可执行文件(winnit.exe)和它的批处理启动器(停止.bat)与DC相关的机器的管辖权。批处理文件冗余地使用两种不同的方法,试图(1)将勒索软件可执行文件及其启动器批处理文件复制到目标LAN上的计算机上,(2)使用两种不同的方法WMI和PsExec执行启动器批处理文件。每个批处理文件都是同一个命令的长列表,目标是一台接一台的每台机器。批处理文件似乎按降序遍历每个目标计算机的内部IP地址,但不包括内部范围内所有可能的IP地址。我们仍然不知道攻击者是如何在批处理脚本中生成目标IP地址列表的。(第六批处理文件中引用的rstwg文件是合法Windows的副本PxExec.exe文件二进制文件,已重命名并复制到%temp%目录中。)1.bat:开始复制停止.bat\\\c$\windows\temp\2.bat:开始复制winnit.exe\\\c$\windows\temp\3.bat:启动wmic/node:""/user:""/password:""进程调用创建命令行.exe/复制\\\c$\windows\temp\停止.batc: \temp\窗口"4.bat:启动wmic/node:""/user:""/password:""进程调用创建命令行.exe/复制\\\c$\windows\temp\winnit.exec: \windows\temp"5.bat:启动wmic/node:""/user:""/password:""进程调用创建命令行.exe/c:\windows\temp\停止.bat"6.bat:启动psexec.exe文件\\-u-p""-d-h-r rstwg-s-accepteula-nobanner c:\windows\temp\停止.bat大皮层时间依赖性执行我们在获取了MegaCortex的初始样本、它的几个支持文件以及其中一个目标机构的日志后,曾一度努力地执行它。从计算机内部的网络控制系统中分配了两个二进制文件。威胁参与者使用被盗的管理员凭据登录,然后使用WMI将有效负载推出并PsExec到整个(可见和在线)网络。恶意软件是一个至少包含两个文件的包停止.bat批处理文件,用于启动MegaCortex,以及winnit.exe,大规模ddos攻击防御,恶意软件可执行文件本身(到目前为止,称为winnit.exe),进行加密。批处理文件在运行时会杀死许多进程和服务,其中许多可能会阻止部分或全部文件加密。该批处理文件的最后一行是执行恶意软件的命令行。该命令使用base64字符串作为某种密码来启动文件。不使用此二进制文件,退出字符串。(旁注:我们还没有分享攻击者可以用来识别哪些目标与我们共享信息的特定细节。)但运行恶意软件还有另一个问题:每个二进制文件都是时间依赖的。只有满足这两个条件时,恶意软件才会运行:您必须(a)使用正确的密码,服务器如何防御cc,(b)目标系统上的时钟必须在3小时内硬编码到恶意软件二进制文件中。与不同恶意软件家族的奇怪连接SophosLabs内部以及广大安全社区的许多人评论说,批处理文件中的进程和服务列表与勒索软件LockerGoga用于相同目的的批处理文件非常接近,甚至不完全相同。这与另一个恶意软件家族有着有趣的联系。不是唯一一个。MegaCortex接触的至少一个C2地址也被用作LockerGoga的C2地址,以及其他一些恶意软件。此外,我们对MegaCortex恶意软件二进制文件的早期分析揭示了一些独特的、不寻常的内部特征或行为异常,这些都是LockerGoga所展示的。例如:大多数其他勒索软件只会在加密文件后重命名该文件的加密版本,但MegaCortex和LockerGoga都会先重命名文件,然后再加密。我们怀疑这是一种防止恶意软件冗余执行的方法,冗余地对同一文件加密两次。这个winnit.exeMegaCortex二进制解密并删除一个嵌入的DLL,它使用该DLL执行加密步骤。类似于洛克戈加勒索软件,winnit.exe充当"父"进程,并生成rundll32.exe进程以将删除的DLL作为"子"加载。子进程执行文件的实际加密,由winnit.exe父级,通过共享内存。二进制文件和DLL共享一些相同的内存。分析还显示了MegaCortex中另一个名为boost的代码库的证据,主要用于进程间通信;boost库中的相同函数也在LockerGoga中使用。而且,值得一提的是,用于构建MegaCortex的编译器是14.x版,与LockerGoga相同。这些都不足以划清这两者之间的界限,特别是因为这两个族之间似乎没有太多的子程序对等。但它确实把水弄浑浊了一点,令人惊叹。这里有很多非常奇怪的,偶然的巧合。奇怪嘈杂的感染过程大皮质并不害怕拍照,也不会试图掩饰自己的存在。事实上,在一台被勒索软件DLL组件主动加密的机器上,知道如何使用任务管理器的人会看到数百个rundll32.exe实例反复运行。(2019年5月15日更正:只有一个rundll32.exe进程。它在加密10个文件后退出,并生成一个新的rundll32.exe来加密下一个10个文件。-编辑)rundll32.exe的每个实例似乎都负责加密目标的10个文件这是因为恶意软件似乎每加密10个文件就运行一个rundll32.exe的新实例。它将密钥blob写入一个文件,文件名为8个伪随机字母,后缀为.tsv,恶意软件在C:驱动器的根目录下创建。大皮质运行密码.exe在完成文件加密后擦除硬盘的可用空间。这使得使用取证工具恢复删除的文件变得更加困难。像其他勒索软件一样,MegaCortex调用密码.exe,阿诺阿

版权保护: 本文由 DDOS防御专家 原创,转载请保留链接: /ddos1/51450.html

DDoS防御专家简介孤之剑
国内资深白帽子二十人组成员,前BAT资深网络安全工程师,知名网络安全站点板块大神,每年提交Google及微软漏洞,原sina微博负载插件开发者,现在整体防御复合攻击长期接受1-4.7T攻击,CC防护自主开发指纹识别系统,可以做到99.9999%的无敌防御。
  • 文章总数
  • 6934751访问次数
  • 建站天数

    QQ客服

    400-0797-119

    X