服务器集防DDoS群谨防-墨者安全-墨者盾
DDOS防御_CC防护_高防CDN服务器_【墨者安全】—墨者盾墨者盾—你的网站贴身保镖!

QQ:800185041
高防免费接入:400-0797-119

渠道合作:156 2527 6999

主页 > CC防护 > 服务器集防DDoS群谨防

服务器集防DDoS群谨防

小墨安全管家 2021-01-14 10:59 CC防护 89 ℃
DDoS防御

服务器集群谨防_如何办_江苏云盾

NjRAT和H-蠕虫变异感染然后上升介绍 Nzrat特洛伊木马也称为Bladabindi,是一种远程访咨询工具(RAT),首次浮上于2013年,在中东地区很普遍。njRAT是使用微软的.NET框架开辟的,和很多其他rat一样,它提供了对被感染系统的彻底操纵,并向远程攻击者提供了一系列功能。我们基本看到攻击者利用流行的游戏和软件应用程序漏洞和keygens作为诱饵感染最后来用户。 njRAT有特别多变种。H-Worm,也被称为Houdini,是最受欢迎的变种之一,据报道曾被用于攻击国际能源部门。在那个博客中,我们将提供一具对于njRAT和H-Worm的简要概述,以及我们在过去几个月所看到的H-Worm活动的分析。 新泽西州 njRAT特洛伊木马仍然是最成功的老鼠之一,CC防御,因为广泛的在线支持和网络罪犯的教程。有各种.NET混淆工具,DDoS高防,使防病毒解决方案难以检测,并妨碍安全研究人员的分析。njRAT将动态DNS用于命令和操纵(C2)服务器,并经过可配置端口使用自定义TCP协议举行通信。 来自受感染系统的C&C回调包括以下信息:机器人标识符(基于生成器中的可配置字符串和卷序列号)计算机名(base64编码)操作系统信息是否存在连接的网络摄像头(是/否)机器人程序版本国家代码活动进程窗口的标题以下是C&C信息示例: 1953年ll | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | 124;'|'| QWRTAW5PC3RYYXRVCJOQZPCV2LUZG93C1XZEXN0ZW0ZMLXJBWQUZXHL0G9UMJDCCHL0AG9ULMV4ZSAG2LTCGXLX3NVY2TLDF9ZZXJ2ZXZXXZXXZXXZXXZXZXZXXZXZZXXJ0ZW5PC3RYYXRVCJOQZPCV2LUZG93C1XZEXN0ZW0ZLXJBWQUZZXLIC0GZPCUHL0AG9UMJDCCHL0AG9UJ0AG9ULC40DECOD6; 2(当前聚焦窗口):治理员:C:\Windows\system32\命令行.exe-  njRAT允许远程攻击者在受感染的系统上执行以下活动:文件系统更改记录击键下载并执行远程文件远程桌面网络摄像头接入麦克风接入猎取多个应用程序的用户凭据反向命令shell我们看到的njRAT感染的最新实例是版本0.7d。下面是攻击者能够访咨询的nzrat操纵面板的一些屏幕截图: njRAT C&C操纵面板 njRAT建造面板 njRAT作者信息 H型蜗杆 H-Worm是一具基于VBS(visualbasicscript)的RAT,我们相信它是从njRAT源代码中派生出来的。H-Worm为网络罪犯提供与njRAT类似的操纵。它也为其C&C服务器使用动态DNS,但与njRAT不同,DDoS防御,它使用POST请求和HTTP用户代理字段从受感染的机器中过滤敏感信息。C&C通信POST请求通常使用参数"cmd"和"param",如下表所示: H-Worm Bot命令摘要Bot命令讲明例子连接URI执行执行响应中发送的vb代码执行vbscript代码没有更新将bot代码更新为提供的代码(覆盖现有文件)更新新vbscript bot代码没有卸载从受害计算机中删除bot卸载没有发送从URL下载内容并在名目中转储发送c:\没有站点发送从URL下载内容并使用指定的名称保存网站发送c:\足本.vbs没有接收将文件上载到C2域接收C:\Users\User\Documents\密码.txt公布/正在接收枚举驱动程序发送受害者系统驱动器的信息枚举驱动程序驱动程序/后置枚举枚举faf发送给定路径的名目列表枚举fafC:\Users\User\POST/is枚举路径进程枚举发送受害者系统的进程列表枚举过程POST/is枚举过程命令外壳经过受感染主机上的"%comspec%/c"运行命令命令外壳小算盘POST/is命令外壳删除从受害者的系统中删除指定的文件或文件夹删除C:\Users\User\Documents\没有退出过程经过taskkill终止指定的进程ID退出流程没有睡觉设置"就绪"信标之间休眠的毫秒数(默以为5000)睡眠10000没有 来自受感染系统的C&C回调在"用户代理"字段中包含以下信息:机器人标识符(基于生成器中的可配置字符串和卷序列号)计算机名用户名操作系统信息机器人程序版本防病毒信息(默认值'nan-av')USB扩频[true/false],带有从bot的注册表项获得的日期。以下是攻击者能够访咨询的H-Worm操纵面板的一些屏幕截图,它们来自两个不同的变体: H-Worm plus C&C操纵面板 H-蠕虫操纵中心[类似于njRAT的经理] H-Worm plus版本生成器面板 H-Worm扩展/精简版C&C操纵面板 我们然后看到很多新变种的H-蠕虫在野外浮上。以下是我们在2015年跟踪的一些活动H-Worm变体的版本字符串:23az版本你好KKM不错的电脑mod版本加普桑safa7垌22天空ESP电脑水刺那个小丑蠕虫黑社会决赛AB DELL提供的v1.8.3版AB DELL提供的v1.8.7Dz-47蠕虫DZ-47蠕虫以下是我们在2015年观看到的现役指挥操纵服务器的地理分布: 那个RAT家族最流行的特性之一是使用动态DNS举行命令和操纵服务器通信。2015年,DDoS防御,我们发觉来自以下动态DNS域的多个子域被恶意软件作者滥用用于C&C通信:成人网电缆-调制解调器.orgdz47.cfddns.net网站dnsd.信息数字录像机-ddns.com网站dyndns.org网站迪努网ftp21.net版mooo.com网站myq公司-请参见.com没有-ip商务不,我没有-ip.org网站重定向.net出售-it.netservecounterstrike.com网站serveftp.com网站服务http.comservequake.com网站赛德斯.net用户32.comzapto.org网站结论njRAT和H-Worm变种感染然后上升,尽管据报道这种威胁在中东地区更为普遍,但我们在世界其他地区也然后看到感染。虽然微软在2014年6月曾试图破坏那个臭名昭著的老鼠的C&C频道,但我们仍然看到恶意软件作者使用各种动态DNS服务举行C&C服务器通信。它仍然是当今野外最受欢迎和流行的老鼠之一。Zscaler ThreatLabZ部署了多层爱护来抵御这种威胁,以确保客户爱护。过去对此的报道threat://www.fidelissecurity.com/sites/default/files/FTA%201010%20-%20njRAT%20The%20Saga%20Continues.pdfhtp://phishme.com/the-Nzrat的回归/http://blog.trendmicro.com/trendlabs-security-intelligence/new-rats-emerge-from-leaked-njw0rm-source-code/http://www.s.网站ymantec.com/connect/blogs/simple-njrat-fuels-nascent-middle-east-cyberce-scenehtps://blogs.mcafee.com/mcafee-labs/trail-nzrathttps://www.fireeye.com/blog/threat-research/2013/09/now-you-see-me-h-worm-by-houdini.htmlAnalysis作者:Deep Desai&John MancusoZscaler_媒体_中心2_博客_公布_1-R1


DDoS防御

当前位置:主页 > CC防护 > 服务器集防DDoS群谨防

标签列表
DDoS防御
网站分类
X
 

QQ客服

400-0797-119