DDOS防御专家-提供超强DDoS高防/CC防护/大流量清洗服务!
当前位置:主页 > WEB安全 > 正文

ddos防火墙_网络安全防护系统_秒解封

01-12 WEB安全

ddos防火墙_网络安全防护系统_秒解封

虽然信息窃取者并不新鲜,但最近的一些发展已经使它们变得更加普遍、更复杂、更具挑战性。在这篇文章中,他参加了一个SANS网络广播,VMRay产品经理Rohan Viegas和SANS分析师Jake Williams讨论了infostealer如何工作的机制,以及它们如何被非技术用户商品化,并概述了企业组织可以采取哪些步骤来检测和保护自己不受日益逃避的变体的影响。信息窃取者(InfoStealers)顾名思义是一种收集网站凭证、密码、财务信息的恶意软件,任何个人身份信息都可以用来危害账户和/或在黑市上出售。直到最近,服务器cc攻击怎么防御,这些工具需要一定程度的技术知识才能部署和操作。但是,正如我们看到的勒索软件即服务(RaaS)模型的流行,InfoStealer工具也同样被创造性地打包并销售给更广泛的非技术用户。然而,与RaaS工具不同,RaaS工具通常只能在地下论坛和黑暗网络上找到,许多InfoStealer软件包可以通过简单的Google搜索轻松找到,并以名义金额购买。抢表格的人会偷偷摸摸表单抓取器是InfoStealers的一个重要组成部分,使恶意软件作者能够检索登录凭据和其他私人用户信息,然后这些信息可用于危害帐户,从而可能导致知识产权外泄,DDOS有效防御,或者更可能被用于给企业带来巨大的经济损失。正如SANS分析师Jake Williams在本次网络研讨会的前半部分中所解释的那样,许多安全团队对于信息窃取者的威胁过于自满,ddos防御代码,因为他们相信拥有诸如多因素身份验证(Multi-Factor Authentication,MFA)这样的认证代理可以减轻此类攻击。然而,由于表单抓取器被注入浏览器本身,大多数端点和网络控件在很大程度上都是无效的。这是因为一旦它们在用户的机器上和浏览器中,攻击者就可以在真正的用户之前接收并处理数据(即,由2FA请求触发的SMS代码)。Jake说,"重要的是要明白这不是网络中的一个web代理——连接不会被截获,因此,什么是防御ccddos,通过进行网络流量分析,您不会发现有一个表单抓取器窃取表单中的凭据或其他信息。我们甚至有一个PowerShell InfoStealer的例子,我们看到它在积极地插入一个签名的可信根证书,并且他们实际上正在代理数据。攻击者正在学习如何秘密地执行所有这些操作,而网络流量分析可能无法帮助您实现这一目标。"https://306dlv9g2c4fl4za451pdg1b-wpgengine.netdna-ssl.com/wp-content/uploads/2018/12/Form-Grabbers.mp4信息窃取者越来越复杂Formbook是InfoStealer变体的一个例子,目前正在野外运行和发展。与传统的后门恶意软件不同,信息窃取者依靠一个专门的接口来窃取银行和金融账户信息。当然,银行网站上的大多数登录表单都不会要求提供某些私人数据,如社会保险号或ATM机Pin,攻击者可能需要这些数据来打开一个伪造的信用卡账户或从账户中电汇资金。为了收集这些额外的数据,Jake展示了攻击者如何使用web注入来修改登录表单并从用户那里请求额外的数据。事实上,他们甚至建立了自己的开发语言来标准化web注入的编写方式。重要的是要记住,建造这些建筑的人并不是使用它们的同一个人。宙斯恶意软件标准化了编写网络注入的语言,这种语言后来被其他恶意软件采用……网络犯罪分子正在处理互操作性问题,因此我们也必须处理它。"https://306dlv9g2c4fl4za451pdg1b-wpgengine.netdna-ssl.com/wp-content/uploads/2018/12/What-if-the-Attacker-Needs-More.mp4交付和检测经过这么多年,我们Infosec社区可能已经厌倦了关于网络钓鱼的报道,但正如杰克提醒我们的那样,网络钓鱼仍然是信息窃取者最常见的传播方式。随着我们在强化Java、减少Flash漏洞和浏览器漏洞方面做得更好,攻击者一直在寻求阻力最小的道路,利用个人目标和批量目标相结合的方式来传递他们的恶意负载。从探测的角度来看,攻击者使用各种各样的逃避技术来达到他们的目标,这就是为什么杰克提醒我们为什么我们不能仅仅依靠一个单一的解决方案:"沙箱引爆附件肯定可以帮助防止一些交付,但如果你完全依赖沙箱爆炸,只需小心……你需要聪明地做好深度分层防御。攻击者越来越擅长反检测。如果您有沙盒产品,我们强烈建议您定制您的分析环境,使其看起来像您的真实环境。"最后,Jake展示了DNS监控是如何提供关键的第一道防线的,因为许多InfoStealer变体现在都在销售,C&C(命令和控制服务器)地址已经硬编码。这就是为什么记录DNS可以成为一个强大的工具来识别攻击者依赖于与受损机器通信的动态域。"我们应该记录DNS,因为它让我们有机会在第一时间发现InfoStealer,cc防御策略,因为在大多数情况下,我们都会进行一些引导活动。"https://306dlv9g2c4fl4za451pdg1b-wpengine.netdna-ssl.com/wp-content/uploads/2018/12/Detection-of-InfoStealers.mp4建立你自己的恶意软件在网络研讨会的后半部分,我们将讨论Infostealer是如何被攻击者广泛访问的,他们的有效负载的各种传递方式,他们的一些标志性成分和相关的行为特征,然后概述一些可以帮助识别他们的关键信号。对于一个几乎没有技术能力的攻击者来说,不仅要掌握信息窃取者,而且还要定制他们以满足他们的特定需求,这变得太容易了。它们既便宜又容易购买——无论是在地下论坛上,还是在一些看起来合法的网站上,恶意软件作者公开宣传它们是"PC监控产品"。VMRay研究团队分析了一些最受欢迎的infostealer,下面的片段展示了他们如何将自己的解决方案打包成一些每月15美元的订阅。这些一体化的软件包包括基本的击键记录程序到更全面的反检测方法,以实现高级持久性。您可以在VMRay的恶意软件分析报告中找到最流行的InfoStealers的详细报告。https://306dlv9g2c4fl4za451pdg1b-wpengine.netdna-ssl.com/wp-content/uploads/2018/12/InfoStealer-Availability.mp4如上所述,大多数信息窃取者都是通过网络钓鱼或垃圾邮件发送的。这些通常包括Microsoft Word文档的附件,其中包含宏或攻击特定应用程序漏洞的漏洞。我们详细介绍的一个例子是利用Microsoft Word中一个名为Equation Editor的17年前的宏,该宏在很大程度上被用户和Microsoft开发人员社区忽视(要了解攻击者如何针对这些类型的漏洞,请阅读VMRay高级威胁研究员Tamas Boczan在8月份的博客文章,"已被遗忘的MS Office功能")。https://306dlv9g2c4fl4za451pdg1b-wpengine.netdna-ssl.com/wp-content/uploads/2018/12/InfoStealer-Delivery.mp4最流行的InfoStealer产品还包括一个控制面板界面,旨在帮助非技术攻击者自定义恶意软件本身的核心组件。控制面板提供了攻击者渗透的所有系统的高级仪表板,提供了有效负载的客户端组件(即,密码被盗的数量、记录的击键次数、记录的屏幕截图等)的方便概览直观的基于向导的界面使配置攻击者可能希望在InfoStealer中加入哪些功能变得容易,包括:定义远程访问的设置(即输入控制面板的URL、FTP和SMTP凭据以将窃取的信息发送回攻击者等);选择记录选项和频率(即键盘记录、屏幕截图);选择要从中窃取数据的应用程序(即浏览器、邮件客户端);选择要禁用哪些进程可能检测到恶意软件(即,阻止AVs、添加持久性);以及自定义要显示的假消息(即错误弹出窗口、信息消息弹出窗口等)我们还研究了一些可以定制的行为特征。虽然这些功能将取决于恶意软件构建器本身所启用的功能,但这允许攻击者进一步优化InfoStealer在最终用户的计算机上执行后的行为。最后,我们来看一下杀戮链的最后一部分:数据过滤。如何将信息发送回攻击者?这些功能包括自定义通信协议(AZORult系列)到不太复杂的方法,例如将数据上载到FTP服务器(Hawkeye InfoStealer)或只是将所有信息作为文本文件通过电子邮件发送回攻击者。发现逃避信息窃取者那么,信息窃取者的蛛丝马迹是什么呢?如果您使用的是像VMRay这样的恶意软件沙盒,所有的分析都会自动执行。VMRay Analyzer将向您展示InfoStealer试图做的所有事情-从强行使用用户帐户或试图读取应用程序数据到它是否试图窃取加密货币钱包到实际尝试连接到远程主机。如下所示,可以使用VMRay Analyzer全面分析InfoStealer的整个杀戮链,为您的SOC提供可操作的智能。https://306dlv9g2c4fl4za451pdg1b wpe

版权保护: 本文由 DDOS防御专家 原创,转载请保留链接: /web/61195.html

DDoS防御专家简介孤之剑
国内资深白帽子二十人组成员,前BAT资深网络安全工程师,知名网络安全站点板块大神,每年提交Google及微软漏洞,原sina微博负载插件开发者,现在整体防御复合攻击长期接受1-4.7T攻击,CC防护自主开发指纹识别系统,可以做到99.9999%的无敌防御。
  • 文章总数
  • 8158347访问次数
  • 建站天数

    QQ客服

    400-0797-119

    X