DDOS防御专家-提供超强DDoS高防/CC防护/大流量清洗服务!
当前位置:主页 > WEB安全 > 正文

ddos防攻击_上海云盾信息技术有限公司_3天试用

01-12 WEB安全

ddos防攻击_上海云盾信息技术有限公司_3天试用

间谍软件即服务入门间谍软件即服务(spyware-as-a-service)的兴起,让网络犯罪分子可以选择一种专长,无论是改进间谍软件、感染用户,还是从窃取信息中获取最大利润。间谍软件即服务的商业模式始于个人或团队开发初始间谍软件,并建立恶意软件所依赖的任何必要基础设施。然后,开发团队可以将其软件卖给其他技术含量较低的网络犯罪分子。间谍软件(或恶意软件)即服务是一种经济专业化,在网络犯罪社区中越来越普遍——恶意版本的软件作为服务存在于云端,但不是会计或计时,更邪恶的东西。组织部署基于网络的防御系统来检测和防止间谍软件通信。其中一些网络防御包括网络日志和入侵防御系统(IPS)。恶意软件的快速发展会使这些防御措施的某些部分失效。通过在VMRay Analyzer中引爆恶意软件,防御者可以剖析新的恶意软件样本,并学习如何修改防御措施以保护网络。在这篇博文中,我们将看到一个间谍软件样本卖给犯罪攻击者。通过分析间谍软件样本执行过程中丢失的数据,VMRay实验室团队能够识别间谍软件自称为"收集器项目"的名称,并找到向犯罪分子出售此恶意间谍软件平台的论坛。查看CollectorGoomba的VMRay Analyzer报告图1:论坛帖子广告间谍软件即服务平台,cc是怎么防御的,此示例所属图1显示了这个论坛上发布的间谍软件的广告,家庭网络如何防御ddos,它已经被论坛的版主删除了。作者描述了使用他的产品窃取信息的好处,它允许犯罪分子轻松地访问窃取的信息,并假定定期更改间谍软件以避免防御(作为旁注:命令和控制文件修改的历史记录)基础设施显示,无法起到防御ddos,这些间谍软件的变化比罪犯承诺的几周间隔了近一个月)。作者似乎还声称,他的团队编写了这种间谍软件即服务。数据被盗在执行过程中,CollectorGoomba(在犯罪论坛中称为Collector Project,以前称为Memory Project)从受感染的计算机上窃取敏感信息。间谍软件从用户的网络浏览器中读取敏感数据,包括他们的web cookie、个人信息,甚至还有登录详细信息(通常存储在web浏览器的自动填充功能中)。具体来说,这些间谍软件的目标是googlechrome、Firefox和internetexplorer的数据文件。图2:VMRay函数日志显示从googlechrome读取敏感数据的fopen()API调用此示例以其身份验证详细信息为目标的其他应用程序包括:Authy(2FA桌面应用程序)诺德VPNFileZilla公司蒸汽不和洋泾浜最后,把被偷信息的一个压缩包添加到桌面上。盗用登录凭证意味着攻击者将能够以受感染用户的身份登录-有可能利用这些信息进一步渗透到组织的网络中。个人信息的丢失对用户和组织来说可能是毁灭性的,因为它可能导致身份盗窃、敲诈、银行欺诈、跟踪和其他许多灾难性的后果。作为间谍软件即服务模式的一部分,犯罪分子通常交换受害者的个人信息,这意味着攻击者可以将信息卖给专门利用被盗信息的犯罪经纪人。密码安全提示Web浏览器的自动填充功能对用户来说非常方便,但是使用它也很危险,因为登录凭据将以明文形式保存在用户的计算机上。许多密码管理器可以安装为浏览器插件,并使用户能够以类似的容易登录。正确的密码管理器的好处是他们将使用主密码加密信息。与web浏览器的自动填充功能不同,即使间谍软件能够窃取包含登录凭据的文件,攻击者也无法读取敏感数据。网络流量VMRay自动监视网络流量,VMRay Analyzer报告(图3.1)中提供了深入的网络摘要。此外,还可以下载完整的数据包捕获(图3.2)进行详细分析或发送到网络监控工具。CollectorGoomba使用高级网络功能来检索包含集合服务器域的文本文件。在目标域被获取后,间谍软件试图将窃取的数据上传到间谍软件即服务收集服务器。此示例使用中包含的API函数Wininet.dll,一个包含高级网络通信功能的Windows库。这些函数易于使用,并使这个间谍软件即服务示例的编程对开发人员来说更加简单。间谍软件将生成的第一个网络流量来自函数InternetReadFile(),它试图读取公共可用的GitHub存储库中托管的文本文件。图3.1:VMRay网络概述间谍软件示例请求文本文件图3.2:下载的数据包捕获详细说明了示例生成的第一个网络流量生成的网络流量将首先作为DNS查询出现在数据包捕获中raw.githubusercontent.com–Github托管的合法子域,允许直接下载文件。在接收到这个GitHub服务器的IP地址后,受感染的计算机就会伸出手来下载文本文件的内容纽约.txt源于raw[.]githubusercontent[.]com/fkarelli/fjusbftnf/nyun[.]txt(图4)受害者的被盗信息。图4:GitHub中托管的最新文本的屏幕截图如图5所示,程序检查它是否收到了有效的响应。它确认InternetReadFile()函数没有返回0(表示它没有错误)。然后检查返回的字节数不是0,这表示没有收到文本文件。如果满足这两个条件,则示例假定无法从中检索域信息纽约.txt并依赖于一个硬编码域进行数据过滤,对于本示例来说,该域是u667503srd[.]ha004[.]t[.]justns。如果两个请求都成功并且返回值大于0字节,防御cc节点,则间谍软件将假定它已收到纽约.txt,依赖于返回的文本作为目标域。如果执行此操作,接收到的文本文件"u667503srd[.]ha004[.]t[.]justns"的内容与顶级域"[.]ru"组合,以构造完全限定的域名u667503srd[.]ha004[.]t[.]justns[.]ru。在运行示例后不久,这个间谍软件即服务平台的开发人员更新了GitHub中的文本文件,以便通信的间谍软件感染将收到"u7320947p3[.]ha004[.]t[.]justns",并将被定向到新的C2域u7320947p3[.]ha004[.]t[.]justns[.]ru。图5:调用InternetReadFile()并测试响应的反编译程序集当间谍软件获得其目标域时,它会过滤包含所有被盗数据的zip存档文件(图6)。代码调用高级网络函数HttpSendRequest()和InternetWriteFile()向u667503srd[.]ha004[.]t[.]justns[.]ru/collect[.]php发送一个HTTP POST。在间谍软件指挥控制服务器上collect.php文件正在监听间谍软件的连接。据这个间谍软件的平台开发者称,nginx防御ddos模块,攻击者的客户端能够连接到这个服务器并访问他们窃取的数据。图6:VMRay数据日志显示使用InternetWriteFile()传输的zip文件的十六进制转储在窃取的数据被过滤后,间谍软件删除它创建的临时文件,释放它使用的内存,并完成执行。指挥控制系统VMRay实验室团队将我们对C2流量的发现发送到GitHub,并能够移除恶意存储库。攻击者不能再依赖此文件将恶意软件定向到数据过滤服务器。当间谍软件试图纽约.txt它从GitHub收到一个错误,而不是间谍软件即服务域*[.]ha0004[.]t[.]justns。CollectorGoomba的编程很糟糕(正如它的名字所暗示的那样),如图7所示,它试图将窃取的数据上传到"404:Not"Found.ru/收集.php。此尝试失败,示例执行实际上崩溃。所有依赖这个GitHub存储库的攻击者的恶意软件现在都不能上传被盗的数据,不管哪个exfiltering服务器是硬编码到恶意软件中的。图7:VMRay网络概览显示间谍软件试图将数据上载到无效域早在6月20日,间谍软件开发人员修改和更新了他们全新的代码,现在依赖于upaste[.]me上的文本文件。但是,任何在更新之前编译的CollectorGoomba实例仍然无法上载它窃取的数据。为什么名字叫CollectorGoomba?间谍软件是恶意的,肯定会伤害受害者,但是,我知道它不是一个复杂的证书窃取者,它是糟糕的编程。在我们确认这确实是一个新样本的过程中,我们在犯罪论坛上发现了一些关于"收藏家项目"及其前身"记忆项目"的讨论。老实说,间谍软件的基本代码,恶意的性质和关闭它的容易性让我想起了你在马里奥战斗的基本敌人,傻瓜。Goombas是有害的,但它们也不聪明(历史上它们有非常基本的编程),只要跳到它们身上就很容易被摧毁。根据g

版权保护: 本文由 DDOS防御专家 原创,转载请保留链接: /web/61147.html

DDoS防御专家简介孤之剑
国内资深白帽子二十人组成员,前BAT资深网络安全工程师,知名网络安全站点板块大神,每年提交Google及微软漏洞,原sina微博负载插件开发者,现在整体防御复合攻击长期接受1-4.7T攻击,CC防护自主开发指纹识别系统,可以做到99.9999%的无敌防御。
  • 文章总数
  • 8152220访问次数
  • 建站天数

    QQ客服

    400-0797-119

    X