DDOS防御专家-提供超强DDoS高防/CC防护/大流量清洗服务!
当前位置:主页 > DDOS防御 > 正文

服务器安全防护_游戏高防_快速解决

06-10 DDOS防御

服务器安全防护_游戏高防_快速解决

注:Anomali正在继续调查和监测WanaCry蠕虫,并将更新此页面,因为我们有更多的信息要分享。访问对于最新。在5月12日星期五早上,一个新的勒索软件威胁出现,以惊人的速度感染了全球数以万计的电脑。图1-WanaDecrypt0r2.0弹出窗口和启动屏幕。命名"Wana Decrypt0r2.0"(又名"WannaCry","WCry"),勒索软件的独特之处在于它似乎是第一个能够独立传播到其他(Windows)计算机上的勒索软件之一,类似于Conficker等过去的恶意软件。这看起来像是第一个将蠕虫功能集成到勒索软件中的案例,事实上,确实如此的。它后来确定勒索软件是通过扫描易受MS17-010攻击的系统,利用它们,然后利用最近泄露的美国国家安全局后门在系统上安装勒索软件围绕勒索软件传播组件的大肆宣传是因为它利用了针对MS17-010的漏洞,这是微软SMB协议中的一个漏洞,导致勒索软件继续传播。这也是一个大问题,因为恶意软件使用的漏洞来自臭名昭著的影子经纪人最近泄露的"在翻译中丢失"垃圾,其中包括美国国家安全局开发的网络攻击工具。在本例中,高防cdn的目标客户是,ETERNALBLUE是影子代理在转储中包含的利用漏洞的名称。图2–FuzzBunch利用框架,包含针对MS17-010的漏洞攻击,由影子泄露经纪人。而整个安全部门仍在调查蠕虫病毒、勒索软件和最初的感染媒介,细节已经开始显现,让我们更深入地了解恶意软件是如何工作的,以及如何才能阻止它。虫子虽然一开始还不清楚,但感染中有2个恶意软件组件。第一个是删除勒索软件的主要恶意软件二进制文件。我们查看的样本具有md5 db349b97c37d22f5ea1d1841ec89eb4。时间戳[4CE78ECC]-Nov 20,2010 9:03:08这是恶意软件二进制文件,它将调用域"iuqerfsodp9ifjaposdfjhgorijfaewwergwea[.]com",查看它是否得到响应并确定是否应继续执行。幸运的是,这个域名在被发现的同一天就陷入了困境,有效地阻止了更多勒索软件的感染,因为一旦收到来自该域的响应,恶意软件就会立即退出。这不是勒索软件组件,而是滴管。使用你可以看到的工具ResourceHacker实际上看到并提取了包含恶意软件有效负载的资源部分分析第一个是实际的wanadecrypt0r2.0ransomwaremd5:84C82835A5D21BBCF75A61706D8AB549时间戳[4CE78F41]-2010年11月20日9:05:05图4a–隐藏在虫子。那个下一个感兴趣的资源部分来自勒索软件二进制文件,它包含一个受密码保护的.zip文件,其中包含勒索软件使用的其他文件。zip文件包含md5 B576ADA336690875E5CE4CB3DA6153A。图4b-"PK"文件头在主要恶意软件的资源部分可见二进制。图5–Zip密码"2楼7楼"在分析.network恶意软件被设计成一旦系统被感染,它将扫描本地网络和互联网,寻找监听TCP端口445的系统,然后检查这些系统,ddos防御那家便宜,以确保后门(称为DOUBLEPULSAR)的存在,它将通过该后门发送要安装的勒索软件,其他分析可在此处和这里。图6–受感染的主机正在扫描TCP 445上的IP。一旦系统感染勒索软件,勒索软件弹出窗口和数据丢失的威胁将照常进行。图7-WanaDecrypt0r 2.0桌面。这个勒索软件会定期检查,看看是否付款,这个通信是用TOR完成的。由于勒索软件使用TOR进行通信,网络通信将被加密,并且可能会被检测签名所覆盖,除非对TOR网络流量的特定检测启用。图8–勒索软件与端口9001上的TOR节点通信,443和80.37.221.162.226900162.210.123.2444381.2.209.108094.242.59.1479001131.188.40.189443163.172.146.2329001图9–观察到的流量示例您可能已经猜到了,阻止TOR通信有助于减轻威胁,ddos攻击防御算法,同时也是良好的商业网络卫生。在因特网上以及大多数威胁情报平台(包括Anomali)上都可以找到活动TOR出口节点的列表威胁流。检查TOR节点的活动日志有助于定位可能受感染的主机或使用TOR逃避网络策略,从而可能使您的企业处于风险结论你想要在像WanaCry这样的威胁面前领先一步,高防cdn是不是高防主机,关键是你要衡量自己的暴露水平,并采取适当的缓解措施,这样才能避免感染。如果得不到适当的保护,这些类型的攻击会很快失控,并使安全团队不知所措,从而导致业务停顿(正如我们在上周五所看到的那样)。正如人们一再强调的那样,必须对易受攻击的系统进行修补,以减少风险。相反等待被感染的系统出现安全警报,提前扫描网络上的易受攻击的系统有助于识别潜在的目标,这可以通过Nessus等工具完成,如果系统存在,它会报告易受攻击。图10–Nessus扫描结果示例表明存在潜在漏洞主人。另外,确保端点不会直接暴露到Internet是一种重要的一般缓解措施,有助于避免感染瓦纳克雷。什么接下来,武器级网络攻击工具落入坏人之手,很明显,以前保留给民族国家使用的工具和技术正被整合到犯罪软件中牟利。这意味着在未来的攻击中,你可以看到更多的利用这些漏洞和工具,每一个都有可能在复杂度和隐蔽性上超过以前,因为威胁行为体建立在以前的攻击经验教训的基础上。网络钓鱼、漏洞利用工具包和水坑都是常见的攻击载体,它们可能会利用这些武器级工具继续传递像WanaCry这样的恶意负载。将有新版本的WanaCry试图克服目前观察到的弱点。这将取决于各组织从导致这次攻击的安全弱点中吸取教训,并及时了解未来的发展情况,以防止其环境中的感染。关于作者。GomezJosh Gomez是一名高级安全研究员,在网络和安全行业拥有超过15年的经验。在Anomali之前,他是FireEye实验室的高级成员,在那里他专门研究和检测漏洞工具包、恶意软件和犯罪活动。

,ddos云服务防御

版权保护: 本文由 DDOS防御专家 原创,转载请保留链接: http://www.ddosgb.com/ddos1/60001.html

DDoS防御专家简介孤之剑
国内资深白帽子二十人组成员,前BAT资深网络安全工程师,知名网络安全站点板块大神,每年提交Google及微软漏洞,原sina微博负载插件开发者,现在整体防御复合攻击长期接受1-4.7T攻击,CC防护自主开发指纹识别系统,可以做到99.9999%的无敌防御。
  • 文章总数
  • 8556892访问次数
  • 建站天数

    DDOS防御

    ddos防御

    cc防护

    web安全

    高防服务器

    高防cdn


    QQ客服

    400-0797-119

    X