DDOS防御专家-提供超强DDoS高防/CC防护/大流量清洗服务!
当前位置:主页 > WEB安全 > 正文

香港高防ip_香港高防cdn节点_如何防

05-03 WEB安全

香港高防ip_香港高防cdn节点_如何防

资料来源:sancalvicie.com网站一个新的僵尸网络最近开始招募物联网设备。僵尸网络利用托管服务器发现并感染新的受害者,利用最近在物联网僵尸网络中流行的两个已知漏洞之一:CVE-2014-8361"Realtek SDK MiniGD UPnP SOAP命令执行"漏洞和相关攻击。CVE-2017–17215"华为路由器HG532–任意命令执行"漏洞和相关攻击。这两个攻击向量都是从Satori僵尸网络中知道的,并且基于"BrickerBot"作者"Janit0r"最近公开发布的一篇Pastebin帖子中的代码该恶意软件还使用了与最近发现的PureMasuta类似的技术,其源代码最近在一个只邀请的黑暗论坛上发布。我们的调查让我们找到了一个C2服务器sancalvicie.com网站其中,该网站为GTA San Andreas Multi-Player mod服务器提供DDoS服务。以下是这些服务的屏幕截图和详细信息:托管和DDoS服务在SanCalvicie.com网站SAMP选项为GTA San Andreas提供了一个多玩家游戏服务,并明确提到了针对源引擎查询和其他DDoS洪水的保护。Corriente Divina("神圣流")选项被描述为"上帝的愤怒将针对您提供给我们的IP进行攻击"。它提供了一个保证带宽为90-100Gbps的DDoS服务和攻击向量,包括阀源引擎查询和32字节泛洪、TS3脚本和"Down OVH"选项,该选项很可能是指攻击目标是OVH的托管服务,OVH是一家云托管提供商,也是2016年9月Mirai攻击的受害者。OVH以托管Minecraft等多玩家游戏服务器而闻名,Minecraft是当时Mirai攻击的目标。想象一下,当我正在为博客编辑我的初始报告时,我再次访问了该网站,发现DDoS攻击服务的描述已经更改-他们已经升级了他们的服务!托管和DDoS服务在SanCalvicie.com网站–几小时后,ddos防御2g,同一天注意新提到的"机器人程序"和增加的290-300Gbps的保证DDoS流量。他们必须对他们两天前刚开始部署的新僵尸网络充满信心…[你可能还喜欢:Radware的Pascal Geenens的10个网络安全问题]利用1月30日,我们的物联网蜜罐记录了来自不同服务器的多个攻击尝试,100m带宽可防御ddos流量,这些服务器都位于欧洲不同的托管中心。基于CVE-2014-8361的漏洞利用尝试使用URL通过三个单独的SOAP帖子向端口52869执行RCE/picsdesc.xml文件基于CVE-2017–17215的漏洞利用端口37215上的POST-to/ctrlt/DeviceUpgrade_1和稍有不同的命令序列来下载和执行恶意软件,首先尝试杀死设备上可能存在的任何竞争机器人:恶意软件二进制文件名为"jennifer",在所有情况下都是从同一服务器5.39.22.8下载的,该服务器托管在与漏洞攻击服务器的提供商不同的提供商上。下载服务器托管了MIPS、ARM和x86的示例,这些示例都是最近上载的:分析时样本的IOC:在过去的一年中,DDoS的防御有,我们目睹了物联网僵尸网络的不典型性,这个僵尸网络使用服务器来执行扫描和攻击。几乎所有的僵尸网络,包括Mirai、Hajime、perisrai、Reaper、Satori和Masuta都执行分布式扫描和利用。也就是说,每个感染了恶意软件的受害者都将执行自己的搜索,寻找新的受害者。这种分布式扫描提供了僵尸网络的指数级增长,但代价是恶意软件本身的灵活性和复杂性。如果不扫描和利用有效负载,bot代码本身就变得简单和轻巧。同时,集中扫描和利用功能为维护人员提供了更大的灵活性来添加和改进功能。扫描和利用功能也可以用更高级的语言(如Python或Go)进行编码,并利用更丰富的模块和库生态系统,而不必担心会影响bot的大小。他们甚至不必将自己局限于脚本或编程,并且可以利用任何可用的工具来创建一个集成的、自动化的扫描和利用系统。当在bot本身中提供扫描和利用功能时,它必须(或应该)用C或其他编译语言实现,并且不应该期望在许多设备和平台上存在任何依赖关系。对于每一个增加核心语言丰富性的静态链接库,bot的大小以及它的指纹都会增加。通过识别与恶意软件相关联的库,安全研究人员更容易逆转和解释恶意软件使用的漏洞或技术。较少的节点扫描和利用也意味着僵尸网络总体上噪音较小,也不太可能被蜜罐发现。此外,他们一直处于被称为BrickerBot的自治PDoS僵尸网络的监视之下。在没有服务器和服务器的情况下,研究人员很难估计网络的规模。最后,对资源(包括受害者网络连接的带宽)的影响将是最小的,直到bot被实际指示执行攻击。中心方法的缺点是随着部署的服务器数量的线性增长而下降。与指数增长率相比慢得多,比分布式扫描僵尸网络攻击性更小。我们全球范围内的每一台服务器的扫描都证实了这一点。在过滤利用漏洞服务器的IP地址时,我们发现针对服务器配备的特定漏洞攻击的端口进行了SYN扫描。这证实了大规模扫描和手术方法的利用,以避免产生太多的噪音和保持不被发现。Realtek利用服务器之一的全局欺骗网络统计数据恶意软件在执行时,Jennifer二进制分叉三个进程,并在退出之前将下面的消息写入终端。这三个分叉的进程在进程表中的名称都是模糊的,就像Mirai一样。恶意软件还通过反调试检测进行保护,以防止在跟踪或调试器中运行它。所有进程都在监听绑定到本地主机的端口,免费的ddos防御,而进程的一个进程将TCP套接字打开到位于端口127上80.82.70.202的命令和控制服务器。TCP会话在进程存在期间保持活动状态。二进制文件中的字符串已被混淆:打印在终端上的"哎呀,另一桌的中国家庭肯定吃了很多"这句话是作者送给他的一份很好的礼物。字符串长度为58个字符,为查找混淆算法和密钥提供了一个良好的起点,ddos防御收费,而不必经历更痛苦和冗长的反转。在与二进制代码相反的C伪代码中,很容易找到具有完全相同字符数的候选字符串:变量rnd=窗口.rnd|| 数学地板(数学随机()*10e6);var pid276005=窗口.pid276005||rnd;变量plc276005=窗口.plc276005||0;无功功率=窗口.abkw|| '';var absrc='https://servedbayadbutler.com/adserve/;ID=168379;size=0x0;setID=276005;type=js;sw='+屏幕宽度+';嘘='+屏幕高度+';spr='+窗口设备像素比率+';kw='+abkw+';pid='+pid276005+';位置='+(plc276005++)+';rnd='+rnd+';click=单击"宏"占位符';文档.写入('');使用Python进行的一些非常基本的密码分析很快就揭示了混淆算法是一个简单的XOR,具有固定的密钥0x45:在模糊处理的字符串上应用带0x45的XOR将显示它们的纯文本版本:对于如何获取包含IP 80.82.70.202后面的C2服务器主机名的字符串,仍然存在一个问题,我们前面已经看到了。反向域对于合理猜测僵尸网络的属性毫无用处:包含主机名的字符串可以在下面的反向伪代码中找到:用0x45将字符串传递给XOR不会产生预期的结果。一些暴力的强迫行为帮助我们找到了密钥0x22——同样的XOR混淆也被用来混淆PureMasuta中的用户名和密码——巧合的是,PureMasuta的代码是在一个只邀请的黑客论坛上共享的?最终,通过使用0x22执行XORing操作,我们发现C2服务器的主机名为'skids.sancalvicie.com网站’.验证主机名:此域由名为"Calvos S.L."的组织注册[您可能还喜欢:关于Brickerbot、Hajime和IoT僵尸网络,您需要了解的一切]C2协议一旦执行,恶意软件会打电话回其硬编码的C2服务器,该服务器位于主机名'skids.sancalvicie.com网站'在端口127上使用TCP会话。恶意软件发送一个初始字节序列"0x000x000x000x010x07",后面是作为第一个参数传递给命令行以执行它的字符串。在Realtek漏洞利用的情况下,此参数为"Realtek"。在这个初始序列之后,bot和C2服务器将以两个空字节的有效负载来回传递数据包,以保持会话的活动。bot和C2服务器之间的TCP会话-bot为红色C2服务器似乎还提供了一个命令行接口,监听同一个端口127。当会话建立后的初始字节不是0x00时,服务器以登录提示进行响应:归属反向代码具有阀源引擎查询攻击有效载荷的指示器,与原始Mirai代码中包含的攻击向量相同,Mirai代码源于2016年10月发布。深入调查领域'sancalvicie.com网站一旦发现了潜在的攻击源和多人攻击引擎,andregtme就会立即给出答案

版权保护: 本文由 DDOS防御专家 原创,转载请保留链接: http://www.ddosgb.com/web/50144.html

DDoS防御专家简介孤之剑
国内资深白帽子二十人组成员,前BAT资深网络安全工程师,知名网络安全站点板块大神,每年提交Google及微软漏洞,原sina微博负载插件开发者,现在整体防御复合攻击长期接受1-4.7T攻击,CC防护自主开发指纹识别系统,可以做到99.9999%的无敌防御。
  • 文章总数
  • 6783847访问次数
  • 建站天数

    DDOS防御

    ddos防御

    cc防护

    web安全

    高防服务器

    高防cdn


    QQ客服

    400-0797-119

    X