DDOS防御专家-提供超强DDoS高防/CC防护/大流量清洗服务!
当前位置:主页 > WEB安全 > 正文

高防御cdn_神盾局特工第三季百度云_限时优惠

05-03 WEB安全

高防御cdn_神盾局特工第三季百度云_限时优惠

2018年4月12日,免费dd和cc防御,Radware的威胁研究小组通过一个收集来自全球Facebook用户的用户凭证和支付方式的内部订阅源检测到恶意活动。该组织通过网络钓鱼邮件操纵受害者下载一个名为"缓解压力绘画"的绘画应用程序。虽然外表温和,但它在后台运行一个名为"压力绘画"的恶意软件。在几天之内,这个组织已经感染了40000多个用户,窃取了数以万计的Facebook用户证书/cookies。这种快速分布和高感染率表明该恶意软件是专业开发的。该组织特别感兴趣的用户谁拥有Facebook页面,并包含存储的支付方法。我们怀疑该组织的下一个目标是亚马逊,因为他们在攻击控制面板上有专门的区域。Radware将继续分析这一活动,并监测该组织的活动。在发布此警报之前,Radware已检测到该恶意软件的另一个变体,并在控制面板中看到此新版本的指示。图1和图2:按感染和地理位置划分的恶意软件分类感染过程Radware怀疑感染活动是通过网络钓鱼邮件或直接在Facebook上进行的(Radware尚未收到)。接收者会认为他们会去合法的站点(即AOL)下载合法的应用程序,但是这个站点实际上是AOL站点的Unicode域。图3:虚假网站该网站广告称为"缓解压力油漆"的应用程序,并包含一个下载链接。虽然搜索引擎还看不到应用程序或网站,但网站中的特定字符串会将Radware引导到Google上一个名为'美国在线'这不是真的'美国在线'而是美国在线它的真正地址是'xn--80a2a18a.net'图4:Google索引的恶意网站[您可能还喜欢:为什么网络安全对您最有价值的客户的忠诚度至关重要]恶意软件一旦文件被下载并执行,就会打开一个窗口,向用户显示"合法程序"。这是一个绘制程序,每次单击都会更改颜色和线条大小。图5:paint程序的屏幕截图在后台,恶意软件立即开始运行,并在系统上丢弃文件。温度\\DX.exe文件–恶意软件的主要模块,在系统中一直存在温度\\更新.dll–以后可能用于窃取凭证/cookie桌面\缓解压力paint.lnk–运行原始下载可执行文件的桌面链接。支持该计划的合法性。AppData\Local\Google\Chrome\User Data\Default\Login Data11111AppData\Local\Google\Chrome\User Data\Default\Cookies11111这两个文件都是存储在chrome文件夹中的原始文件的副本,用于cookies/保存的密码窃取,并立即删除接下来,还会创建/修改许多注册表项。HKLM\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run\\UpdateA–值为DX.exe文件[参数]。我们已经看到了两个不同的参数,这可能表明作者想要追踪的两种不同的感染活动。控制面板中也会显示这一点。HKCU\Software\Classes\VirtualStore\MACHINE\Software\RelieveStressPaint\guid-值为user guid。它以以下格式保存[5个随机字母/数字]hhmmsyyymmdd。然后,对特定的Instagram配置文件进行连接检查。Radware认为这样做是为了接收指令或更新(这件事还在调查中)。Facebook数据被盗第一次运行恶意软件时,如果用户再次运行应用程序(使用桌面上的.lnk),以及每次重新启动计算机,信息都会被窃取。它是通过将Chrome浏览器cookies和登录数据文件的内容复制到一个新位置并从那里查询数据来完成的。一旦找到保存的登录凭据(用户名+密码)或Facebook cookies,它们将以以下格式加密发送到C2:{"fid":"%s",腾讯高防cdn,"fpwd":"%s","cookies":"%s",%s}图6:泄露的用户凭证到C&C服务器对于其他请求,将以以下格式发送受感染计算机的一般信息:{"guid":"%s","os":"%s","agent":"%s","Auto":%s,"flag":%s,"data":%s,"卖家":"%s"}一旦验证了凭据并授予了访问权限,依靠php防御cc,将收集其他数据,例如朋友数、帐户是否管理页面以及是否为该帐户配置了付款方法。这是通过访问几个预定义的返回此信息的Facebook URL来完成的。所有请求都是使用硬编码的用户代理完成的:Mozilla/5.0(Windows NT 6.1;WOW64)AppleWebKit/537.36(KHTML,像壁虎)Chrome/55.0.2883.87 Safari/537.36隐身恶意软件的作者决定利用一种特定的数据窃取方法尽可能长时间地隐藏在系统中。没有一般的凭证窃取,这可能会引起安全供应商的一些标志Cookie和保存的密码窃取只能通过查询原始Cookie/登录数据文件的副本来完成负责凭证盗窃的进程每次在系统上停留不到一分钟因为他们在这个阶段只对Facebook访问感兴趣,所以他们要么从第一次感染保存的登录/cookies中获得,要么在计算机重新启动时获得。变量rnd=窗口.rnd|| 数学地板(数学随机()*10e6);var pid276005=窗口.pid276005||rnd;变量plc276005=窗口.plc276005||0;无功功率=窗口.abkw|| '';var absrc='https://servedbayadbutler.com/adserve/;ID=168379;size=0x0;setID=276005;type=js;sw='+屏幕宽度+';嘘='+屏幕高度+';spr='+窗口设备像素比率+';kw='+abkw+';pid='+pid276005+';位置='+(plc276005++)+';rnd='+rnd+';click=单击"宏"占位符';文档.写入('');控制面板这个僵尸网络的运营商决定使用一个名为Layuicms2.0的开源中文CMS。他们对其进行了定制,以显示僵尸网络爆发的信息,如被盗的凭证和cookies,以及其他指标和导出Facebook数据的能力。该面板还为Amazon提供了一个部分,但它还不能正常工作。Radware认为,这意味着该集团的下一个目标将是亚马逊。图7:控制面板(由googlechrome翻译成中文)图8:用户数据可能的影响由于该组织正处于数据收集阶段,ddos防御为什么那么贵,Radware只能推测这个僵尸网络的操作员如何处理被盗的凭证。赚钱-简单地把偷来的凭证卖给恶意的参与者和网络罪犯。在线身份在黑暗的网络上交易已有一段时间了。勒索-勒索受害者,威胁他们泄露个人信息,如照片等。间谍活动-利用所拥有的证书来跟踪特定人员的活动、网络和对话利润-使用被盗的凭证和支付信息在电子商务网站和服务上购物身份盗用-重复使用这些凭证通过Facebook登录到其他帐户或服务。然而,事实上,这个小组是专门寻找有网页的帐户和拥有大型网络的成员,这使我们考虑了几个额外的选择。恶意广告-利用盗用的凭证、访问网页和支付详情,该集团可以发起恶意广告活动,无论是为了牟利还是传播更多的恶意软件。他们可以在不引起怀疑的情况下使用每个用户的少量数据,并收集一个临界质量来启动任何活动。宣传——利用同样的信息,他们可以发起一场宣传活动,宣传他们的议程,揭示人们/个人身份,而不是为产品或服务做广告[您可能还喜欢:没有专业知识或智能,安全性是否可以高效?]防止数据收集恶意软件的步骤使用先进的机器学习算法检测新的零日恶意软件通过与现有的保护机制和防御层集成来阻止新的威胁报告您网络中的恶意软件感染尝试审核针对新漏洞利用的防御措施,并查看您在哪些方面易受攻击随着这一恶意软件的迅速扩张,该组织肯定会继续尝试寻找利用被盗资产的新方法。这些组织不断制造新的恶意软件和变种来绕过安全控制。Radware建议个人和组织更新当前密码,并且只从可信来源下载应用程序。Radware的恶意软件研究小组将继续监测和分析新的威胁,为其客户提供保护。披露我们已经将我们的研究结果提交给了Facebook信息安全团队,包括所有被盗账户的凭证。Facebook正在调查这一行动,并提供了以下声明。 我们鼓励人们检查他们收到的邮件中的可信域。Facebookmail.com网站是一个公共域,ddos防御会影响网速吗,当我们检测到有人试图登录您的帐户或更改密码时,Facebook将使用该域发送通知。如果你不确定你收到的邮件是否来自Facebook,你可以访问facebook.com/settings查看最近发送的与安全相关的电子邮件的列表。我们正在调查这些恶意软件的发现,并采取措施帮助保护和通知那些受到影响的人。"我们维护了一些自动化系统,以帮助阻止有害链接和文件出现在Facebook和Messenger上。如果我们怀疑您的计算机感染了恶意软件,我们将为您提供我们信任的合作伙伴提供的免费防病毒扫描。我们分享如何保持安全的提示和这些扫描仪的链接facebook.com/help"–Pete Voss,Facebook通讯经理Radware还联系了域名注册商,要求停止和终止这一活动,但截至发布时未收到任何回应。要下载警报,请单击此处:Radware Threat alert:Stresspaint阅读"2017-2018全球应用与网络Sec

版权保护: 本文由 DDOS防御专家 原创,转载请保留链接: http://www.ddosgb.com/web/50114.html

DDoS防御专家简介孤之剑
国内资深白帽子二十人组成员,前BAT资深网络安全工程师,知名网络安全站点板块大神,每年提交Google及微软漏洞,原sina微博负载插件开发者,现在整体防御复合攻击长期接受1-4.7T攻击,CC防护自主开发指纹识别系统,可以做到99.9999%的无敌防御。
  • 文章总数
  • 6779364访问次数
  • 建站天数

    DDOS防御

    ddos防御

    cc防护

    web安全

    高防服务器

    高防cdn


    QQ客服

    400-0797-119

    X