DDOS防御专家-提供超强DDoS高防/CC防护/大流量清洗服务!
当前位置:主页 > WEB安全 > 正文

cdn防御cc_国内高防服务器租用_无缝切换

11-08 WEB安全

cdn防御cc_国内高防服务器租用_无缝切换

编者按,2019年5月8日:这是一个快速发展的故事,为了保持准确性,我们删除了一些与原始报道相关的令人困惑的数据,如下所示。我们已经在这里发布了更新。周三,一款名为MegaCortex的勒索软件在全球范围内(包括意大利、美国、加拿大、荷兰和其他国家)针对Sophos客户的攻击数量激增,这让这款名为MegaCortex的勒索软件大为活跃。发起这一新的恶意软件活动的攻击者使用先进的技术试图感染受害者。复杂的感染方法MegaCortex利用了自动化和手动组件,似乎涉及到大量的自动化来感染更多的受害者。在我们调查的攻击中,攻击者使用一个通用的red team攻击工具脚本在受害者的环境中调用metermeter反向shell。从反向shell中,感染链使用PowerShell脚本、来自远程服务器的批处理文件以及仅触发恶意软件的命令将加密的辅助可执行负载(已嵌入初始丢弃的恶意软件中)丢弃到指定的计算机上。至少在一个网络环境中,一个攻击者似乎是从一个域的管理控制器中获得的,至少在一个管理控制器上被触发了。这个恶意软件的名字是对Neo在第一部《黑客帝国》电影中工作的无名官僚公司的误读。这张赎金纸条读起来就像是用劳伦斯·菲什伯恩的角色莫菲斯的声音和节奏写成的。用来签署MegaCortex的密码证书《赎金笔记》的电影狂热并不是它对过去的唯一提及。用于执行加密的数字签名可执行负载已由一个证书进行了签名,该证书的公共名称(CN)与我们在2018年11月发现的签名可执行文件相同,但我们仍在寻找它们是否与最近的示例类似。在这个CN上搜索,我们在我们的存储库中发现了几个与同一个攻击者有关的示例。该恶意软件还利用长批处理文件终止正在运行的程序并杀死大量服务,其中许多服务似乎与安全或保护有关,java防御ddos攻击,这正成为当代勒索软件家族的共同主题。回顾恶意软件存储库,我们发现了一个1月22日从捷克共和国上传到VirusTotal的示例。这似乎是已知的最早提交给公共恶意软件共享服务的示例,但我们在自己的存储库中发现了具有相同公共名称值的文件。我们第一次看到恶意软件触发客户警报的报告可以追溯到2月份,但没有发生重大感染,直到5月1日的大幅飙升,报告才零星地出现。自5月1日以来,已经有多起被Intercept X阻止的确认攻击事件。每一次攻击都针对一个企业网络,可能涉及数百台机器。当攻击者试图传播恶意软件时,管理员控制台中可能会出现类似这样的警报,事件ID为10028,指示文件无法传输到某些计算机。虽然赎金单上没有提到犯罪分子要求的价格,但他们确实向受害者提供了"关于如何改善贵公司(sic)网络安全的咨询"和"保证您的公司永远不会被我们带来不便"——你知道,在将来,在他们所从事的这种非常大的不便都结束之后。随着尝试感染的数量不断增加,路由器ddos防御,我们召集了一个由恶意软件分析师和支持人员组成的团队来处理对攻击及其后果的初步分析。大皮质是如何攻击的目前,我们还不能确定MegaCortex攻击是否受到Emotet恶意软件的帮助和教唆,但是到目前为止,在我们的调查中(这篇文章还在进行中),MegaCortex攻击与Emotet和Qbot(又名Qakbot)恶意软件在同一网络上的存在之间似乎存在关联。这两个恶意软件家族都有能力充当其他恶意软件有效载荷的传递工具,亚马逊有ddos防御吗,Emotet与Trickbot凭证窃取恶意软件密切相关,后者还可以下载并安装额外的恶意软件有效载荷到受感染的计算机上。我们还没有看到直接证据表明Emotet或Qbot是来源。相反,受害者报告说,攻击是从受损的域控制器发起的。攻击者使用窃取的管理员凭据,执行了一个严重混淆的PowerShell脚本。开始感染的初始触发命令将三层模糊处理剥离后,可以看到一系列命令,ddos最佳防御点,这些命令对base64编码的数据进行解码。这个斑点似乎是一个钴打击脚本,打开一个metermeter反向外壳进入受害者的网络。已解码的PowerShell命令攻击者通过受损的域控制器(DC)发出命令,该域控制器是攻击者使用反向shell远程访问的。DC使用WMI来推送恶意软件-重命名的PsExec的副本rstwg.exe文件,主要的恶意软件可执行文件,以及一个批处理文件-发送到网络上它可以访问的其他计算机,然后通过PsExec远程运行批处理文件。批处理文件似乎只是一个长长的命令列表,用于终止44个进程,向189个不同的服务发出停止命令,并将194个不同服务的启动类型切换为禁用,从而阻止它们再次启动。攻击者针对许多安全软件,包括一些Sophos服务,阻止它们并试图将其设置为禁用,但正确配置的安装不允许这样做。批处理文件的最后一步是启动先前下载的可执行文件,winnit.exe. 批处理文件使用命令标志(base64编码的数据块)执行winnit。此命令调用winnit.exe删除并执行具有八个随机字母字符文件名的DLL负载,该文件名执行恶意加密。也有迹象表明,攻击者使用其他批处理文件,以数字1.bat到6.bat命名,用于发出命令来分发winnit.exe以及受害者网络上的"触发器"批处理文件。Sophos Intercept X中显示的攻击者的杀手链赎金要求通常情况下,赎金通知以纯文本文件的形式出现在受害者硬盘的根目录上。我们用一个倒置的配色方案来显示它,以配合攻击者通过制作矩阵电影参考设置的情绪。勒索软件生成一个文件扩展名为.tsv,文件名与恶意DLL相同的八个随机字母文件名,并将其放入硬盘驱动器。勒索要求要求受害者提交这一文件,连同他们支付赎金的请求,发送给两人中的任何一个邮件电子邮件地址。随着我们的研究人员继续研究这个案件,我们将对这个勒索软件及其攻击特征有更多的了解。大皮质的推荐保护措施我们仍在试图对感染过程有一个更清晰的了解,但目前看来,大皮层的存在与Emotet和Qbot在受害者网络上预先存在的、持续的感染之间有很强的相关性。如果您看到关于Emotet或Qbot感染的警报,这些应该是高度优先的。这两个机器人都可以用来分发其他恶意软件,这可能就是大皮层感染的起源。到目前为止,我们还没有看到任何迹象表明远程桌面协议(RDP)被滥用来侵入客户网络,但我们知道,企业防火墙中允许人们连接到RDP的漏洞仍然相对普遍。我们强烈反对这种做法,并建议任何希望这样做的IT管理员将RDP机器置于VPN之后。由于攻击似乎表明管理密码被犯罪分子滥用,我们还建议广泛采用双因素身份验证,对于目前只需要一个密码,并且可以使用2FA的所有内容。在离线存储设备上定期备份最重要和最新的数据是避免完全支付赎金的最佳方法。请记住,虽然在劫持你的数据的过程中接受罪犯的安全建议可能是不明智的,但那些闯入网络并试图加密数百个端点的罪犯承诺,如果你只是支付赎金,防御ddos价格,他们永远不会,永远不会再这样做了。我不太相信他们,但如果你是受害者,你可能别无选择。Sophos Antivirus检测这些样本为Bat/Agent BBIY、Troj/Agent BBIZ、Troj/Agent BAWS和Troj/Ransom FJQ。本报告的研究由SophosLabs和Sophos支持团队成员Anand Ajan、Sergio Bestulic、Faizul Fahim、Sean Kovalenko、Savio Lau、Andrew Ludgate、Peter Mackenzie、Chee Hui提供。谭,还有迈克尔·伍德。IOC公司IP地址/域仪表反向外壳C2地址89.105.198.28文件哈希脚本批处理:37b4496e650b3994312c838435013560b3ca8571PE EXE文件:478dc5a5f934c62a9246f7d1fc275868f568bc07辅助DLL内存注入器:2f40abbb4f78e77745f0e657a19903fc953cc664

版权保护: 本文由 DDOS防御专家 原创,转载请保留链接: /web/51451.html

DDoS防御专家简介孤之剑
国内资深白帽子二十人组成员,前BAT资深网络安全工程师,知名网络安全站点板块大神,每年提交Google及微软漏洞,原sina微博负载插件开发者,现在整体防御复合攻击长期接受1-4.7T攻击,CC防护自主开发指纹识别系统,可以做到99.9999%的无敌防御。
  • 文章总数
  • 6935033访问次数
  • 建站天数

    QQ客服

    400-0797-119

    X