阿里云DDoS高防ddos谨防-墨者安全-墨者盾
DDOS防御_CC防护_高防CDN服务器_【墨者安全】—墨者盾墨者盾—你的网站贴身保镖!

QQ:800185041
高防免费接入:400-0797-119

渠道合作:156 2527 6999

主页 > CC防护 > 阿里云DDoS高防ddos谨防

阿里云DDoS高防ddos谨防

小墨安全管家 2021-01-14 10:54 CC防护 89 ℃
DDoS防御

手游APP被攻击_好用的_阿里云ddos谨防

概述虽然2015年大规模的Dridex活动基本让位于勒索软件和其他有效负载,但银行木马仍在不断演变,防DDoS,威胁行为体正在以新的方式使用它们。最近,我们观看到了几个比较大的电子邮件活动,这些活动分发了Kronos banking特洛伊木马。只是,在这些活动中,Kronos充当了一具装载器,新的销售点(POS)恶意软件称为ScanPOS作为辅助负载。这些活动不仅代表了我们观看到的Kronos banker实例的上升,还代表了2014年6月首次引入的恶意软件的新应用程序,我们最近在针对加拿大的活动中描述了这一应用程序[1]。电子邮件活动在11月10日和14日,proofoint观看到了几次大型的电子邮件活动,每次都有上万条信息,针对的是一系列垂直领域,包括酒店、高等教育、金融服务和医疗保健。垂直方向的相对体积如图1所示。图1:几个战役的垂直目标这些活动面向全球受众,但要紧针对英国和北美。电子邮件包含文档附件或链接,DDoS防御,例如hxxp://intranet.excelsharepoint[.]com/profile/Employee[.]php?id=[base64编码电子邮件地址]。此域由攻击者操纵,但假装与Microsoft SharePoint关联。点击链接会导致目标用户下载恶意文档(图2和图3)。图2:仅包含恶意附件的电子邮件图3:包含恶意附件和恶意文档链接的电子邮件我们观看到的文档包含一具宏,该宏从一具URL下载了Kronos[2],比如hxxp://info.docs-sharepoint[.]com/officeup[.]exe。Kronos的有效载荷有一具命令和操纵(C&C)hxxp://www.networkupdate[.]club/kbps/connect[.]php。Kronos有效载荷接收任务,从以下URL下载至少三种不同的有效载荷:hxxp://networkupdate[.]联机/kbps/upload/c1c06f7d[.]exe-烟雾加载程序hxxp://networkupdate[.]联机/kbps/upload/1f80ff71[.]exe-烟雾加载程序hxxp://networkupdate[.]联机/kbps/upload/a8b05325[.]exe-扫描位置图4:带有"Enable Content"诱饵的恶意宏文档两个烟雾装载机[3]有效载荷配置为使用hxxp://webfeed.updatesnetwork[.]com/feedweb/feed[.]php作为它们的C&C。到目前为止,我们还没有观看到与这两个烟雾装载机样本相关的任何额外有效载荷。可是,正如在下一节中所指出的,我们观看到一具宙斯变型有效载荷是由使用相同C&C的不同烟雾装载机样本下载的。我们观看到的第三种有效载荷是一种新的销售点(POS)恶意软件,称为ScanPOS,它可以经过在运行进程的内存中搜索发觉的HTTP(图5)信用卡号码举行过滤。这种新的POS变体惟独一具硬编码的C&C:hxxp://invoicesharepoice[.]com/gateway[.]php。与那个地点描述的其他几个域一样,这些域假装与Microsoft SharePoint关联,但它们是独立的,受攻击者操纵。过滤和过滤的数据包括:被盗的轨道数据找到数据的过程用户名请参阅Morphick同事的发觉文章,CC防御,以了解有关此新POS变体的更多技术分析[4]。图5:ScanPOS经过HTTP过滤CC数据其他活动在11月8日之前的一次活动中,DDoS防御,我们观看到类似的电子邮件和网址遵循着与发送Kronos相同的模式。可是,在那个活动中,我们观看到了指向RIG-v漏洞工具包(EK)的链接,接着重定向到ZIP compressed.pif Smoke Loader和ZeuS。这些链接遵循的模式与最近的活动很相似:hxxp://invoice.docs-sharepoint[.]com/profile/profile[.]php?id=[base64电子邮件地址]。这些链接利用iframe将潜在受害者重定向到位于添加souloventure[.]组织以及/下载.php在与原始链接相同的服务器上(图6)。图6:Iframe重定向到RIG-v和有效负载下载不幸的是,我们没有观看到经过那个特定的重定向链传递的任何有效负载。的/下载.php返回EmployeeID-47267.zip有效负载,我们观看到该负载包含使用hxxp://webfeed.updatesnetwork[.]com/feedweb/feed[.]php作为其C&C或ZeuS变体,使用hxxps://feed.networksupdates[.]com/feed/webfeed[.]xml作为其C&C。在我们观看到Smoke Loader的实例中,Smoke Loader下载了一具彻底相同的宙斯变体。结论分发ScanPOS的活动要紧针对北美和英国以及其他庆祝圣诞节和/或感恩节假期的国家的酒店业。随着假期的临近以及与之相关的大量旅行和购物,组织应非常警惕POS恶意软件、银行木马和其他大概被用来利用季节性趋势的恶意软件的感染。我们将然后监控Kronos的活动、ScanPOS的分发以及其他威胁的浮上。工具书类https://www.proofpoint.com/us/threat-insight/post/banking-trojans-dridex-vawtrak-others-increase-focus-on-canadahttps://securityintelligence.com/the-father-of-zeus-kronos-malware-discovered/https://blog.malwarebytes.com/threat-analysis/2016/08/smoke-loader-downloader-with-a-smokescreen-still-alive/http://www.morphick.com/resources/lab-blog/scanpos-new-pos-malware-being-distributed-kronos妥协指标(IOC)国际奥委会IOC类型讲明hxxp://invoice.docs-sharepoint[.]com/profile/profile[.]php?id=[base64电子邮件地址]统一资源定位地址11月8日钓鱼链接hxxp://invoice.docs-sharepoint[.]com/profile/download[.]php统一资源定位地址11月8日从网络钓鱼链接重定向4b5f4dbd93100bb7b87920f2f3066782a8449eb9e236efc02afe570c1ce70cf5SHA256EmployeeID-47267.zip包含来自/下载.php11月8日90063c40cb94277f39ca1b3818b36b4fa41b3a3091d42dfc21586ad1c461daa0SHA256SmokeLoader EmployeeID-47267.pif711431204071b1e6f55644e0f0b23464c6ef5c254d7a40c4e6fe7c8782cd55cSHA256EmployeeID-47267.zip包含来自/下载.php11月8日4ba3913d945a16c099f5796fdeef2fda5c6c2e60cb53d46a1bfae82808075d74SHA256宙斯雇员ID-47267.pifhxxps://feed.networksupdates[.]com/源/网络订阅源.xml统一资源定位地址11月8日宙斯C&C添加souloventure[.]组织域11月8日RIG-v域名hxxp://intranet.excelsharepoint[php/com]职员简介?id=[base64电子邮件地址]统一资源定位地址11月10日钓鱼链接a78b93a11ce649be3ca91812769f95a40de9d78e97a627366917c4fcd747f156SHA256EmployeeID-847267.doc于11月10日从网络钓鱼链接下载hxxp://info.docs-sharepoint[.]com/officeup[.]exe统一资源定位地址EmployeeID-847267.doc 11月10日下载有效载荷(Kronos)e3b0c44298fc1c149afbf4c8996fb92427ae41e4649b934ca495991b7852b855SHA256克洛诺斯11月10日hxxp://www.networkupdate[.]club/kbps/connect[.]php统一资源定位地址11月10日Kronos C&Chxxp://networkupdate[.]联机/kbps/upload/c1c06f7d[.]exe统一资源定位地址11月10日Kronos的有效载荷下载hxxp://networkupdate[.]联机/kbps/upload/1f80ff71[.]exe统一资源定位地址11月10日Kronos的有效载荷下载hxxp://networkupdate[.]联机/kbps/upload/a8b05325[.]exe统一资源定位地址11月10日Kronos的有效载荷下载D0CAF097EA0350DC92277AED73B0F44986D7D85B06D17B424DC172CE35A984SHA256c1c06f7d.exe-SmokeLoaderd9d1f02c8c4beee49f81093ea8162ce6adf405640ccacd5f03ce6c45e700ee98SHA2561f80ff71.exe-SmokeLoaderhxxp://webfeed.updatesnetwork[.]com/feedweb/feed[.]php统一资源定位地址烟雾装载机C&C093c81f0b234c2aa0363129fdaaaf57551f161915da3d23f43a792b5f3024c1eSHA256a8b05325.exe-扫描位置hxxp://invoicesharepoice[.]com/gateway[.]php统一资源定位地址ScanPOS C&C公司hxxp://intranet.excel-sharepoint[.]com/doc/employee[.]php?id=[base64电子邮件地址]统一资源定位地址11月14日钓鱼链接fd5412a7c71958ecdffa7064bf03c5f1931e561a1e71bc939551d5afb8bf7462SHA25611月14日从钓鱼链接下载hxxp://profile.excel-sharepoint[.]com/doc/office[.]exe统一资源定位地址EmployeeID-6283.doc 11月14日下载有效载荷(Kronos)269F88CFA9E9E26F3761AEDEE5D0836B82F346128FE03DA28A331F80A5FBA3SHA256克洛诺斯11月14日(C&C与前一次相同) ET和ETPRO Suricata/Snort覆盖率2018125 ET CURRENT_EVENTS可疑.PIF文件在Zip中2020077 ET特洛伊木马Kronos Checkin M22020080 ET特洛伊木马Kronos Checkin2022124 ET特洛伊木马程序Win32.Sharik Microsoft连接检查2022550 ET当前事件大概的恶意宏DL EXE 2016年2月2023196 ET当前事件钻机EK着陆2016年9月12日T22023401 ET当前事件RIG EK URI结构2016年10月24日(RIG-v)2816808 ETPRO CURRENT_EVENTS RIG EK Flash Exploit 2016年3月29日283254 ETPRO特洛伊木马程序ScanPOS Exfiltering CC数据2823288 ETPRO特洛伊木马程序Zeus Variant CnC SSL Cert


DDoS防御

当前位置:主页 > CC防护 > 阿里云DDoS高防ddos谨防

标签列表
DDoS防御
网站分类
X
 

QQ客服

400-0797-119