亚太dDDoS高防dos高防-墨者安全-墨者盾
DDOS防御_CC防护_高防CDN服务器_【墨者安全】—墨者盾墨者盾—你的网站贴身保镖!

QQ:800185041
高防免费接入:400-0797-119

渠道合作:156 2527 6999

主页 > CC防护 > 亚太dDDoS高防dos高防

亚太dDDoS高防dos高防

小墨安全管家 2021-01-14 12:19 CC防护 89 ℃
DDoS防御
分享:GandCrab勒索软件正在迅速进展,以躲避网络安全社区的谨防努力,关心扩散,并为那些驱动恶意软件的人带来安全的收入。Cofense Intelligence TM基本确定了一具新的活动,DDoS防御,即交付GandCrab版本4.4,这是这一高产勒索软件的最新版本。GandCrab的开辟人员意识到对其过去版本所做的研究分析,并迅速公布新版本来否定解决方案。这些恶意开辟人员还公布与特定安全公司的发觉直截了当相关的版本。在过去的两个月里,GandCrab的作者公布了版本4和随后的4.x版本,以提高勒索软件的功能。这场带有GandCrab v4.4版本(由Cofense Intelligence分析)的电子邮件广告没有遵循通常的趋势,即经过Microsoft Office宏附件举行传递。往常这些活动中使用的诱饵通常是诱使接收者下载受感染的简历或传票。这些电子邮件是用德语写的,并附有一具.zip存档文件,其中包含一具GandCrab v4.4的可执行示例。电子邮件正文遵循之前的活动叙述,如图1和图2所示。图1:用德语编写的电子邮件正文。图2:翻译成英语的电子邮件正文。一旦执行,GandCrab示例将收集有关机器的信息,DDoS防御,并确定它是否是一具可行的加密候选。假如机器被以为是可答应的,这么符合特定标准的文件将被加密。加密后,GandCrab经过一具.txt文件在每个名目中放置赎金。图3是一具赎金记录示例。图3:GandCrab勒索单示例。第四个版本的甘地蟹在7月公布,仅仅是在野外第一次看到甘地蟹的六个月。那个最新版本与往常的版本相比是一具巨大的变化。关注于加密速度,那个版本从使用RSA-2048切换到Salsa20加密算法。在GandCrab的第四个版本之前,在开始加密过程之前,该示例需要成功地签入其命令和操纵(C2)结构。图4记录了GandCrab中的字符串。参考Salsa20算法的开辟者。图4:Salsa20算法的创建者显示在内存字符串中。版本4和4.1引入了一种机制,旨在防止GandCrab在不受欢迎的机器上运行。这些特定版本将依照计算机上存在的特定信息创建一具十六进制字符串.lock文件,并将其放在C:\ProgramData名目中。.lock文件将被查询,假如它找到二进制文件,它将自动终止而不加密端点。当示例查看机器上安装的语言包时,会触发另一具GandCrab kill开关。假如GandCrab发觉了一具俄语语言包或前苏联语言包,它将在不加密端点的事情下自行终止。版本4和4.1的另一具升级是加密文件共享和附加设备的能力。这是经过与系统卷治理器交互来检测这些资源来完成的。这是一具重大的武器更新,因为它使勒索软件有能力吞没网络加密文件。此版本加密文件共享的能力更加强调网络中所需的缓解和响应技术。加密的文件也会有一具新的扩展名,接着附加.KRAB,CC防御,赎金笔记也被重命名为KRAB-解密.txt. 图5显示了加密的文件系统,以及放在桌面上的赎金通知。图5:GandCrab赎金笔记的位置和.KRAB扩展。GandCrab v4.1还显示了新的网络流量,这在往常的旧版本中是没有的。此版本将使用自定义域生成算法(DGA)创建URL,CC防御,并将从计算机收集的信息公布到DGA创建的URL。这些帖子不是针对GandCrab C2基础设施的,而是合法的域。可是,一些研究人员基本从理论上判断,这些帖子大概是一具尚未被充分利用的今后特性的概念证明(PoC)。其他研究人员以为这些帖子是为了让网络充满假阳性的C2s。图6:网络公布到DGA创建的URL。版本4.1.2是出于必要而创建的,因为AhnLab,Inc.及其疫苗软件所做的工作。AhnLab发觉.lock文件能够被模拟并预先放在机器上。经过如此做,GandCrab示例将找到.lock文件并终止自身,从而阻挠它成功地加密机器。由AhnLab提供的疫苗在四天内被勒索软件开辟者否定,他们利用Salsa20加密算法创建.lock文件。不到一天,AhnLab提供了v2.0的疫苗。两天后,一具新变种的甘地蟹被发觉,它检查互斥。gandcrabv4.1.2还添加了反沙盒技术,例如检查分配的内存和注册表中的虚拟环境指标。更新版本4.1.2成为了v4.2+的基础,并带来了一种瞄准AhnLab的PoC武器。那个PoC是源代码,声称它能够对端点上使用的AhnLab防病毒解决方案造成拒绝服务(DoS)攻击。PoC声称这会导致目标系统浮上蓝屏死亡(BSOD)。如上所述,GandCrab的反沙盒技术也在v4.2.1中被删除。图7显示了运行内存中指向PoC的链接。图7:内存字符串中的BSOD PoC链接。版本4.3不过代码的重新编译和重新组织,以及添加反反反汇编技术。最新版本4.4是在往常版本的基础上构建的,同时有自个儿的一些新特性。最新版本提供了一具躲藏模式,当启用该模式时,将查询收集到的信息。接着确定端点上的进程是否需要在GandCrab开始感染之前终止。大多数被终止的进程基本上反病毒产品,以及那些大概持有GandCrab计划加密的重要文件(如数据库文件)的句柄的产品。这使得该示例具有一具无中断且类似于躲藏的文件加密过程。最新版本还配有自毁开关。此版本能够创建.lock文件,并在感染前将其放在%ProgramData%名目中,作为对AhnLab疫苗的认可。假如找到了.lock文件,则示例将无限期地在后台休眠。图8显示了内存中的隐形模式字符串。图8:内存串中的隐形模式。你能做啥与任何勒索软件一样,非常是GandCrab v4.4,您需要有适当的缓解措施,以防网络上的端点加密。适当的缓解措施包括拥有创造商提供的最新软件;从被视为关键资源的网络分段;所有业务关键数据的重复发生和测试备份;电子邮件安全堆栈,能够在电子邮件到达最后来用户时对其举行清理;以及通过实践和改进的响应打算。有了这些东西能够关心你抵御勒索软件事件。GandCrab于2018年初登陆,此后在不断变化的环境中保持相关性方面取得了长脚进步。最新的格式副本采纳了一些策略,如离线加密,这在往常的迭代中还没有浮上过。GandCrab v4可以在两个月内改变并适应网络安全社区的缓解策略。GandCrab的开辟人员基本可以依照反病毒研究分析快速进化出他们的恶意软件,这使得勒索软件运营商可以更有效、更持久地感染病毒。勒索软件的这种快速开辟周期是一种新的趋势,大概会导致更多的恶意软件开辟人员将研究分析作为建设性的批判,接着使他们的样本在今后更加强大。为了及时了解恶意软件和网络钓鱼攻击的进展,请注册免费的Cofense威胁警报。 科芬斯引用的所有第三方商标,不管是徽标形式、名称形式依旧产品形式,基本上其各自所有者的财产,使用这些商标绝不表示科芬斯与商标持有人之间存在任何关系。

无视ddos_海外_亚太ddos高防


DDoS防御

当前位置:主页 > CC防护 > 亚太dDDoS高防dos高防

标签列表
DDoS防御
网站分类
X
 

QQ客服

400-0797-119