DDOS防御专家-提供超强DDoS高防/CC防护/大流量清洗服务!
当前位置:主页 > DDOS防御 > 正文

cdn高防_蓝盾云_新用户优惠

11-08 DDOS防御

cdn高防_蓝盾云_新用户优惠

Emotet家族在没有从其所有者那里得到源源不断的指令流,或者在缺乏关于其操作环境的详细反馈的情况下,每个bot都会从受感染的主机发送回家。它还使用大量属于其他人或企业的受损网站来托管其主要可执行文件的副本。这些文件很快被删除,所以网络处于不断变化的状态。Emotet有效负载url的示例在许多方面,Emotet的整个操作都依赖于bot能够发送和接收定期的数据和反馈、指令和结果、有效负载和任务完成的信号。如果bot无法连接,则无法完成其工作。每个Emotet二进制文件都以不寻常的方式与其命令和控制(C2)服务器进行通信,在某些情况下,使用传统的网络协议,其方式与预期的方式不同。Emotet有一种倾向,依赖于使用有漏洞的合法网站来托管恶意软件本身,维盟ddos防御,但它使用在僵尸网络运营商直接控制下的服务器来接收来自僵尸网络上每个节点的消息并向其发送指令。Emotet通常使用HTTP协议来过滤窃取的数据或接收指令,但它不严格遵循该协议的约定,vps被Cc怎么防御,也不清晰地传输这些信息。Emotet以"cookie"的形式将数据传输到C2服务器,而cookie实际上根本不是cookie该恶意软件使用两个阶段的过程对其将要传输的所有数据进行加密,然后通过未加密的HTTP进行传输。它通过执行httpget请求(包括以浏览器cookie的形式传递数据)来执行与C2服务器的通信。服务器可以用一个简单的确认或一组较长的指令或命令来响应报头。下面是一位内部人士对Emotet如何与C2服务器通信的研究。Emotet电话主页Emotet定期查询正在运行的Windows进程的列表,并将其发送到C2服务器。作为一个恶意软件如何加密和传输数据的好例子。Emotet收集感染系统的一些信息,然后使用protobuf序列化这些数据。Emotet exfiltering数据包,向家中发送正在运行的程序的列表该恶意软件使用某些常量(用红色突出显示)来"签名"它将过滤的格式化数据包(蓝色圆圈)。被灰色条遮住的数据包含被感染系统的计算机名和卷序列号,隐藏在这里,使Emotet操作员更难识别我们的测试系统。下面是这些突出显示的常量表示的内容:0x08之后:初始API加载时,ddos与防御相关的论文题目,0x08之后的字节设置为0x00(crypt32.dll,乌尔蒙德.dll,用户32.dll,用户环境.dll, wininet.dll,wtsapi32.dll)成功。在第一次网络通信之后,bot会在每次连续的通信中增加这个值,就像里程表一样。0x12之后:紧跟在0x12后面的数字(第一个蓝色突出显示的字节)是计算机名和卷序列号信息(从GetVolumeInformationW函数lpVolumeSerialNumber派生)用下划线分隔的长度(以字节为单位)。实际的连接在长度之后。0x18之后:这里的三个字节是根据本机系统信息计算的(RtlGetVersion,GetNativeSystemInfo)0x20之后:进程环境块(PEB)中的会话ID0x2D之后:Emotet可执行文件的CRC值(由rtlcomputercrc32生成)0x32之后:进程的逗号分隔列表。(由Process32FirstW、Process32NextW生成)此部分在屏幕截图末尾的突出显示字节0x3A中终止。加密邮件完成上述数据结构后,Emotet使用protobuf序列化数据,然后使用zlib压缩(并再次序列化)。然后它对消息进行加密。Emotet二进制文件包含一个RSA公钥,该公钥与CryptGenKey函数调用一起用于生成aes128对称加密密钥对。Emotet使用这个密钥加密数据块,然后在base64中对加密的数据进行编码,最后通过执行httpget请求将其传输到C2服务器的根目录。恶意软件实际上通过将数据作为"cookie"附加到HTTP请求头(如下所示)来传输数据,从而使HTTP请求的"内容"为空。C2服务器可以在端口80(HTTP的默认端口)上接收这些通信,但也可以在端口443(HTTPS通信的默认端口)上接收这些通信,或者在许多其他非标准端口上接收这些通信,游戏cc防御,包括但不限于7080、8080、8090、50000或多个其他端口。上表显示了Emotet用于命令和控制的端口的频率细分,ddos防御开原工具,这些端口取自大约3000个Emotet可执行文件。检测Emotet网络流量的用户提示未加密的HTTP流量请求(内容为空且不交换SSL证书)到HTTPS通常使用的端口可能表示网络中存在Emotet。到标准服务通常使用的其他端口(如DNS(53)或SMTPS(465))的HTTP流量是另一个危险信号。另一种可能是空的(无内容)httpget请求,带有异常长的cookie头,直接发送到internet IP地址(而不是域名)。在恶意软件B需要一个加密的反馈信息之前,服务器需要对其进行解密。对上面显示的传输的响应包含Emotet恶意软件应用程序的更新版本,该恶意软件将其解密并启动。更新后的Emotet版本将替换先前的版本,并删除旧版本的恶意软件。致谢SophosLabs的研究人员AnandAjjan,Krisztián Diriczi,Anton Kalinin和Luca Nagy参与了本报告的这一部分。

版权保护: 本文由 DDOS防御专家 原创,转载请保留链接: /ddos1/51467.html

DDoS防御专家简介孤之剑
国内资深白帽子二十人组成员,前BAT资深网络安全工程师,知名网络安全站点板块大神,每年提交Google及微软漏洞,原sina微博负载插件开发者,现在整体防御复合攻击长期接受1-4.7T攻击,CC防护自主开发指纹识别系统,可以做到99.9999%的无敌防御。
  • 文章总数
  • 6936580访问次数
  • 建站天数

    QQ客服

    400-0797-119

    X