DDOS防御专家-提供超强DDoS高防/CC防护/大流量清洗服务!
当前位置:主页 > WEB安全 > 正文

香港ddos防御_网站cc防御_无限

06-10 WEB安全

香港ddos防御_网站cc防御_无限

概述2017年10月24日,安全公司和媒体组织开始报道一个活跃的勒索软件活动,截至本文撰写之时,主要针对俄罗斯和东欧的实体。感染被认为是在10月24日大约12:16 UTC开始的,如图1所示,被感染公司的tweet证明了这一点。这个被称为"坏兔子"的勒索软件已经感染了俄罗斯和东欧的一些组织,包括俄罗斯国际文传电讯社和基辅地铁的机器。乌克兰的敖德萨国际机场也证实,它是一个网络攻击的目标,造成航班延误,然而,不清楚这次攻击是否是坏兔子。在撰写本文时,此攻击背后的威胁参与者/团体尚不清楚。图1-国际文传电讯社在推特上宣布服务器因病毒攻击而出现故障,据信Bad Rabbit是"Diskcoder"勒索软件的变种;其他来源将Bad Rabbit与"Petya/NotPetya/expert"勒索软件进行比较,可能还有Petya的新变种。该恶意软件的最初感染媒介被认为是通过被破坏的俄罗斯网站(drive-by-downloads)和一个假的adobeflash Player安装程序(图3)进行的。此外,勒索软件能够通过服务器消息块(SMB)通过网络传播自己。如果勒索软件感染了一台机器,用户在重启时会收到一张带有红色字母的勒索通知。有趣的是,这与2017年6月发生的Petya袭击案使用的格式相同。参与者/组请求0.05比特币(BTC)(约286.29美元)作为解密密钥。此外,赎金单上写着倒计时,从40小时开始,这表示用户在支付赎金之前必须支付赎金的时间增加。国家用坏兔感染保加利亚、德国、土耳其、乌克兰感染Organizationsfontanka.runterfax公司乌克兰首都国际机场基础设施的新基辅大都会分析感染向量机显示勒索软件滴管已交付通过在一些被破坏的合法网站上的驾车下载。所有被破坏的网站都是新闻和媒体网站。一个弹出窗口显示"adobeflash"的更新可用,并带有安装按钮。滴管下载自"http://1dnscontrol[.]com/闪存_安装.php". 下载是一个带有Flash图标的Windows可执行文件,如图2所示。滴管用两个无效的数字证书签名,伪装成"Symantec Corporation"颁发的证书(图3)。图2-带闪光灯图标的滴管图3-滴管上使用的数字证书图4-假的Adobe Flash Player安装细节dropper创建了一个名为信息发布日期"在Windows文件夹中。此文件是一个DLL文件,通过创建进程"C:\Windows\SysWOW64\rundll32.exe C:\Windows\system32\rundll32.exe C:\Windows"来执行\信息发布日期15英寸。这个DLL执行大多数操作。勒索软件以以下文件e为目标并加密文件xtensions:3ds,7z、accdb、ai、asm、asp、aspx、avhd、bak、bmp、brw、c、cab、cc、cer、cfg、conf、cpp、crt、cs、ctl、cxx、dbf、der、dib、磁盘、djvu、doc、docx、dwg、eml、fdb、gz、h、hdd、hpp、hxx、iso、java、jfif、jpe、jpeg、jpg、js、kdbx、key、mail、mdb、msg、nrg、odc、odf,odg、odi、odm、odp、odp、ODD、odt、ora、ost、ova、ovf、p12、p7b、p7c、p7c、pdf、pem、pfx、php、pmf、png、ppt、pptx、ps1、ps1、pst、pvi、py、pyc、pyw、qcow、qcow2、rar、rb、rtf、scm、sln、sql、tar、tib、tif、tiff、vb、vb、vb箱、vbs、vcb、vdi、vfd、vhd、VHDXX、vmc、VMDKDK、VMDKVMDM、vmtm、vmtm、vmtm、vmx、vmx、vmx、VSDXVSDX、vmx、vmx、vmx、VMVSV,工作,xls,xlsx,xml,xvd,齐普。一次加密过程结束,Bad Rabbit在"C:\Windows"处删除解密程序(文件的详细信息如图5所示)\显示.exe"并创建一个计划任务,以确保在机器启动时恶意软件被执行。添加的计划任务如图6所示。任务是通过执行以下命令创建的:"C:\Windows\SysWOW64\schtasks.exe文件schtasks/Create/RU SYSTEM/SC ONSTART/TN rhaegal/TR'C:\Windows\system32\命令行命令行/C开始\'\'\'C:\Windows\显示.exe\'-id 1639747589&&exit'。图5-被恶意软件丢弃的解密程序的详细信息图6-启动时执行解密程序的计划任务每个受感染机器的ID都不同。这项任务被命名为"雷加尔",这是电视节目《权力游戏》中一条龙的名字。一旦计划任务启动,解密程序就会删除它。这可以在图7中看到。图7-解密程序主要功能的开始bad Rabbit还将通过创建另一个如图8所示的计划任务来确保机器在感染大约15分钟后重新启动。通过以下命令添加任务:"C:\Windows\SysWOW64\命令行.exe/c schtasks/Create/SC once/TN drogon/RU SYSTEM/TR'c:\Windows\system32\关机.exe/r/t 0/f'/ST 18:03:00."时间戳取决于恶意软件的执行时间。这个任务被命名为"德罗贡",这也是权力游戏中一条龙的名字。图8-重新启动机器的预定任务ransom网站托管在".onion"域上,特别是"caforszztxqzf2nm[.]洋葱",只能通过Tor网络访问。它显示了一个彩色的文本"解密"动画(图9),显示了受害者输入赎金笔记中给出的个人安装代码的指示。在遵循指示后,受害者将被分配一个比特币钱包地址,韩国高防cdn,为演员存入赎金。分配的地址还用于验证是否已付款,并根据指示接收解密密码(图10)。该网站至少在攻击前几天就准备好了,因为索引.html"隐藏服务的页面位于10月19日星期四,ddos攻击与防御技术,如图11所示。图9-假文本解密动画图10-坏兔子赎金支付隐藏服务图11-最后修改的属性索引.html隐藏的serviceloardmovementbaddrabbit的文件使用DHCP查找同一子网上的其他机器(图12)。对于网络上的每个IP地址,恶意软件通过打开端口的网络套接字来检查主机是否打开了端口445或139(图13)。图12-坏兔子使用DHCP来枚举子网上的机器图13-端口检查通过打开端口445和139的套接字如果端口是打开的,Bad Rabbit将尝试通过SMBv1(图14)对机器进行身份验证,使用它从主机提取的用户名和密码使用"Mimikatz"并使用硬编码用户名和密码列表(图15)。使用凭据,它尝试连接到一组命名管道(图16)并上载名为"的文件cscc.dat公司"(图17)。文件通过调用"svcctl"服务在远程主机上使用IPC执行。图14-SMBv1请求图15-硬编码用户名和密码组合图16-恶意软件试图访问的命名管道的硬编码列表图17-将文件写入ADMIN$共享并使用$IPC运行其类似于Expert(NotPetya)的Bad Rabbit与2017年6月下旬在欧洲和主要在乌克兰传播的"Expert"恶意软件有许多相似之处。根据Intezer的报告,Bad Rabbit加载程序中大约27%的代码是与expert共享的,ddos种类及如何防御,Bad Rabbit的有效负载大约有13%的代码重用。坏兔子勒索软件丢了一个文件"信息发布日期,到"C:/Windows/,"类似于性能数据"Expert丢弃的文件。根据IB组的研究人员,同样用于阻止Expert的"疫苗"技术也可以用于Bad Rabbit,以防止受害者将其文件加密,包括手动创建.dat文件并设置为读取仅。结论写这篇文章的时间,反应人员和研究人员仍在调查坏兔子的袭击。Anomali的研究人员将继续保持联系并发布更新因此,我们现在已经在Anomali豪华轿车的情报中添加了一组针对坏兔子的威胁指标。豪华轿车是一个免费的威胁情报收集,支持STIX和taxi。获取更多信息。你可能熟悉STAXX-我们的免费客户订阅任何STIX/TAXII威胁情报来源。STAXX现在集成了Limo feed开箱即用,让您可以即时访问Petya指示器,以及更多免费。留下来通过订阅我们的免费每周威胁简报,高防cdn哪家最好,了解最新威胁。立即订阅。关于AuthorIntel收购团队Anomali Intelligence Acquisition Team由来自网络安全行业各个领域的专家组成,包括各种公共和私营部门。这些分析师对Anomali解决方案、Anomali每周威胁简报和突发新闻事件进行详细研究。

,linux服务器防御ddos

版权保护: 本文由 DDOS防御专家 原创,转载请保留链接: http://www.ddosgb.com/web/59945.html

DDoS防御专家简介孤之剑
国内资深白帽子二十人组成员,前BAT资深网络安全工程师,知名网络安全站点板块大神,每年提交Google及微软漏洞,原sina微博负载插件开发者,现在整体防御复合攻击长期接受1-4.7T攻击,CC防护自主开发指纹识别系统,可以做到99.9999%的无敌防御。
  • 文章总数
  • 8019156访问次数
  • 建站天数

    DDOS防御

    ddos防御

    cc防护

    web安全

    高防服务器

    高防cdn


    QQ客服

    400-0797-119

    X