DDOS防御专家-提供超强DDoS高防/CC防护/大流量清洗服务!
当前位置:主页 > DDOS防御 > 正文

cdn防御cc_ddos防御设备_免费测试

06-11 DDOS防御

cdn防御cc_ddos防御设备_免费测试

Threatstream实验室发现了一个有趣的FrameworkPOS样本,它已经有两个月的历史了,它的数字签名和证书还没有被吊销。FrameworkPOS是一个针对POS(销售点)终端的恶意软件家族,其主要目标是窃取这些终端的信用卡数据,以便在黑市中出售。这篇博文分为两个部分。第一部分旨在分析恶意软件的能力,例如:c2连接、编码机制和整个系统活动。第二部分将分析在研究部1: FrameworkPOS能力设计数字证书信息在研究过程中,注意到特定样本9547ce33d8d9df66b528fae27a4467304fbc7003fb29236635d899d374671dee的数字签名好证书。如图0所示:图0网络通信当示例启动时,它向硬编码的c2ip地址45[.]63[.]71[.]150发送一个HTTP请求,免费cc防御软件,该服务器用受害者的公共IP地址响应。然后,这个公共IP用于跟踪在感染后期通过DNS隐蔽通道发送的C2请求。首字母见下图1请求:图1一旦获得公共IP,恶意软件将进入下一阶段,即基于初始DNS通道的C2。初始标注可以在图2中看到下图:图2在上图中观察到3个DNS查询。然而,局域网ddos防御,最重要的一个检查是初始数据泄露。C2的DNS请求具有以下格式:[bot id].[campaign id].[command].[encoded data].[encoded data].[encoded data].[hostname]36e517f3.grp10。ping.adm.cdd2e9cde9fee9cdc8.cdd0e8e9c8fce9d2e9fecdc4.c597f097ce87c5d3.ns.a23-33-37-54-deploy-akamaitechnologies.com网站初始callout中包含的编码数据是:LAN iu ip、public_ip和hostname,请参阅解码的callout下图:36e517f3.grp10.ping.adm.10.1.2.15.169.57.0.213.PETERPC.ns.a23-33-37-54-deploy-akamaitechs.com在分析过程中,有几种标注类型是观察:平:初始标注。在此dns请求中,恶意软件发送以下信息:LAN IP、公共IP和主机名:36e517f3.grp10。ping.adm.cdd2e9cde9fee9cdc8.cdd0e8e9c8fce9d2e9fecdc4.c597f097ce87c5d3.ns.a23-33-37-54-deploy-akamaitechnologies.com网站解码:36e517f3.grp10。平.adm.10.1.2.15.169.57.0.213。彼得罗普斯.a23-33-37-54-展开-akamaitechnologies.com网站tt1/tt2:这些标注过滤从内存中获取的磁道1和磁道2信用卡数据。它使用以下命名约定将数据保存在一个文件中:[botid].dat。这里有一些例子(注意这里的信用卡数据是假的,仅用于教育目的)。09ad9ca2.grp10.tt2.dcc8c8d0c8fccdd2fcd0dcdec8c8cdc8.e6dcc8c8d0c8fccdd2fcd0dcdec8c8cdc8e9dcdcdec8ded2feed0d2c8fc.ns.a23-33-37-54-展开-akamaitechnologies.com网站解码tt2:09ad9ca2.grp10.tt2.4556571076485515.=4556571076485515.448580286057.ns.a23-33-37-54-deploy-akamaitechnologies.com网站AD2.grp10.tt1.DCD2FedFedFeedc8 c8 c8 c8 c8 c8 c8 c8 c8 c8 c8 c8 c8 c8 c8 c8 c8 c8 c8 c8 c8 c8 c8 c8 c8 c8 c8 c8 c8 c8 c8 c8 c8 c8 c8 c8 c8 c8 c8 c8 c8 c8 c8 c8 c8 c8 c8 c8 c8 c8 c8 c8 c8 c8 c8 c8 c8 c8 c8 c8 c8 c8 c8 c8 c8 c8 c8 c8 c8 c8 c8 c8 c8 c8 c8 c8 c8 c8 c8 c8 c8 c8 c8 c8 c8 c8 c8 c8 c8 c8 c8 9E9.ns.a23-33-37-54-展开-akamaitechnologies.com网站解码tt1:09ad9ca2.grp10.tt1.4936789994171949.^MelissaJordan^34033288..B67.67497093623419 ^YasirPollard^97.106268827.ns.a23-33-37-54-deploy-akamaitechnologies.com网站注意:这个调用与调试检查有关。它似乎会检查是否在调试器36e517f3.grp10.notice.c1cbcbdac7c0c2e9f9ccf9.ns.a23-33-37-54-deploy中运行恶意软件-akamaitechnologies.com网站解码:36e517f3.grp10。notice.ollydbg.exe.ns.a23-33-37-54-展开-akamaitechnologies.com网站系统活动恶意软件有多种模式操作。停止:此选项停止恶意软件创建的服务启动:如果将恶意软件设置为服务,则初始化该恶意软件安装:安装恶意软件并将其设置为自动作为服务运行执行。卸载:从中删除恶意软件/服务系统服务:将恶意软件执行设置为未启动服务它。一次恶意软件在系统中运行,它创建两个文件,第一个文件被称为dspsvc.投标,在这个文件中,恶意软件存储bot id。bot id在下面的图3中的代码段中生成:图3创建第一个文件后,将创建具有命名约定[bot id].dat的第二个文件。此文件用作编码数据的存储位置,然后将其作为有效载荷。内存报废机制该恶意软件具有RAM刮取功能,以便代表攻击者获取信用卡数据。它查找信用卡数据的方式是查询每个正在运行的进程内存。然后,恶意软件会查找与磁道1和磁道2数据相关的分隔符,例如"="或"^"。一旦它在内存中找到数据,亚马逊有ddos防御吗,它就把数据发送到编码例程。在下面的图4中可以找到"^"分隔符,图5显示了数据何时被传递到编码路径图4图5数据编码机制此恶意软件使用的数据编码机制非常简单,但似乎非常有效。FrameworkPOS是众多针对POS(销售点)的恶意软件家族之一,该恶意软件使用多种技术组合来混淆数据。以下步骤构成了编码过程恶意软件获取明文并循环通过一个长度为67字节的初始硬编码字符串,以查看是否有任何字符在该字符串中如果字符在该初始字符串中,则它获取其索引并在第二个字符串上使用该索引搜索该字符长度67字节一旦找到它,它就会与字符"AA"异或。它对纯文本中的所有字符执行此操作,如下所示:需要注意的是,此代码在两个不同的地方使用。第一个位置如上图所示,它对磁道1和磁道2的数据进行编码。另一个地方,该函数用于对初始dns ping callout进行编码第2节:活动数据分析,因为该恶意软件家族使用dns作为秘密通信机制。我们能够利用被动DNS数据来了解它的范围和一些受害者。这些数据让我们对以下:活动IDsBot个人信用卡和个人信用卡跟踪2,以及受损POS相关设备的主机名恶意软件示例元数据下表说明了在此期间分析的恶意软件示例的有用元数据research.md5关联CampaignCompile\u dateFirst VT SubmissionsLast VT submission90372a5e387e42c63b37d88845abde0agrp03[2015年7月24日星期五08:25:13 UTC]2015-11-28 02:17:58 UTC(2个月,3周前)2015-11-29 05:54:55 UTC(2个月,2周前)feac3bef63d95f2e3c0fd6769635c30bgrp10[2015年7月24日星期五08:25:50 UTC]2015-11-06 13:11:20 UTC(3个月,1周前)2015-11-20 20 20:18:18 UTC(2个月,4周前)591e820591e10500fe939d6bd50e6776grp05[2015年7月24日星期五08:25:13 UTC]2016-01-16 09:20:34 UTC(1个月前)2016-01-16 09:20:34 UTC(1个月前)每个示例都嵌入了唯一的campaignID,这允许我们将被动DNS事件与可能使用的示例链接起来。根据编译时间,似乎参与者在同一时间(相隔数秒)为他们的活动准备了所有样本C2元数据。在我们的研究过程中,观察到以下领域与分析的3个战役a23-33-37-54-deploy-akamaitechnologies[.]com有关。此域经过精心设计,看起来与Akamai主机非常相似。这是相关的whois记录:创建日期:2015-07-17T18:02:01Z注册登记截止日期:2018-07-17注册商:域名注册商注册RU有限责任公司注册人姓名:Yashiro Takugasa注册机构:Akamai Technologies,inc。技术电子邮件:yashiro1968@yandex[.]俄罗斯名称服务器:ns1.reg[.]ru名称服务器:ns2.reg[.]ruTakugasa是由演员提供的注册名。没有其他域名可以是这个实体或他们提供的注册人电子邮件地址活动信息在分析数据的过程中观察到3个不同的活动。一个比其他人更活跃,但总的来说,ddos云防御产生的时间,每一个活动提供了一个独特的见解,恶意软件的c2通信。下表说明了针对不同的运动。运动IDTrack 1 Data TotalTrack 2 Data TotalCampaign StartedCampaign EndedTotal Bot ids受害者IPS终端名称关联GRP03002015-10-052015-12-09560kLnd2t5,viigngrp0522022152015-08-092016-02-0744ALOHABOH,Alohaboh2GRP101312015-11-212016-02-10862WVINNMICROS,QVWf,DPSSERVER,ViIGn,0usxSi,ddos攻击防御阀值,Bygard活动数据分析显示,就轨道1和轨道2数据而言,活动最活跃的活动是活动grp05,它还显示了从2015年8月开始到2016年2月结束的第二长活动。另一方面,第二个活跃的活动grp10显示了较少的轨道1和轨道2数据exfil。然而,这场运动的主机感染率最高。它的运行时间是2.5个月,这是非常短的活动grp05。例如,活动grp03有0个exfil记录,其运行时间为2个月。这项活动的有趣之处在于感染IP的数量几乎为60。受害者IP分析与感染相关的独特IP总数为67,分布在美国和俄罗斯之间,如下图6所示地理分布图所示分布:图6许多主机都与专门提供VPS服务、托管服务和托管服务器服务的托管公司有关。其余IP地址通过AT&T和Cox通信与商业电路相关,可能与SMB有关。综合事件时间线下面的时间线构成与域和恶意软件示例创建日期相关的活动:下面的第二个时间线对应于POS终端之间的关系每次活动id.附加信息搜索历史的whois数据显示有几个域有一个sim

版权保护: 本文由 DDOS防御专家 原创,转载请保留链接: http://www.ddosgb.com/ddos1/60119.html

DDoS防御专家简介孤之剑
国内资深白帽子二十人组成员,前BAT资深网络安全工程师,知名网络安全站点板块大神,每年提交Google及微软漏洞,原sina微博负载插件开发者,现在整体防御复合攻击长期接受1-4.7T攻击,CC防护自主开发指纹识别系统,可以做到99.9999%的无敌防御。
  • 文章总数
  • 8041310访问次数
  • 建站天数

    DDOS防御

    ddos防御

    cc防护

    web安全

    高防服务器

    高防cdn


    QQ客服

    400-0797-119

    X