服务器防ddos_ddos流量清洗_新用户优惠-墨者安全-墨者盾
DDOS防御_CC防护_高防CDN服务器_【墨者安全】—墨者盾墨者盾—你的网站贴身保镖!

QQ:800185041
高防免费接入:400-0797-119

渠道合作:156 2527 6999

主页 > CC防护 > 服务器防ddos_ddos流量清洗_新用户优惠

服务器防ddos_ddos流量清洗_新用户优惠

小墨安全管家 2021-05-01 22:40 CC防护 89 ℃
DDoS防御

服务器防ddos_ddos流量清洗_新用户优惠

2014年6月,联邦调查局决定反击叶夫根尼·博加乔夫及其宙斯僵尸网络,后者是导致银行损失数亿美元的网络攻击源头。不幸的是,也许又一次,罪犯占了上风。虽然gameoverzeus(GOZ)僵尸网络的核心功能特别简单,但特别难检测到,这要紧是因为GOZ使用域生成算法(DGA)与命令操纵(C&C)服务器通信。在躲避常用的检测想法的并且,GOZ系统性地渗透并对金融机构造成巨大的伤害。联邦调查局的行动打算2010年,美国联邦调查局(FBI)宣布,黑客向目标企业和私人用户发送含有恶意代码的电子邮件,危害用户账户,从而发觉了GOZ的要紧攻击想法。黑客利用账户密码和其他安全措施,一次将数千美元从一具银行账户转到另一具银行账户。钞票骡子大多是从海外雇来的,他们使用的是假美国证件和假证件。最后来,在美国联邦调查局(FBI)可以实施一项打击这一威胁的战略之前,GOZ在美国造成了超过7000万美元的损失,恐怕还有2.2亿美元的盗窃未遂。这些恶意软件要紧针对私人账户,而不是公司,CC防御,以便更快更容易地传播,这有助于它在更长时刻内不被发觉。联邦调查局提出的戈兹建造。基于DGA的恶意软件DGA技术被很多复杂类型的恶意软件所采纳。它涉及到生成大量的域名,这些域名能够用作恶意软件及其相应运营商的"集合点"。恶意软件随机挑选一具域并尝试与之通信。假如失败了,它会尝试一具又一具,直到成功。多个潜在的集合点使得恶意软件特别难被有效地检测和阻挠。恶意软件操作员懂将要提早生成的域列表,并能够注册其中任何一具域以与受感染的计算机建立通信。假如某个特定的C&C服务器被关闭,或者某个域被发觉并被阻挠,操作员将从列表中注册另一具域,接着通信恢复。接着每隔几个小时或几天重复那个过程。联邦调查局反击:托瓦尔行动为了摧毁基于DGA的僵尸网络,联邦调查局提早6个月启动了Tovar行动,注册所有大概生成的域名(超过15万个)。如此做是为了阻挠恶意软件的运营商自个儿注册域名,从而使运营商无法与他们的机器人举行通信。此外,这也有大概使联邦调查局可以发觉并通知基本受到阻碍的突击目标个人和公司。最高法院接受了联邦调查局的请求,并授权其在2014年5月至11月期间注册所有生成的域名。接着,在2014年11月中旬左右,联邦调查局提交了第二份请求,并提供了另一份为期6个月的最新域名列表。不幸的是,联邦调查局的做法从一开始就注定要失败。尽管这是防止戈兹然后造成损害的重要一步,但它并不是防弹的。为啥FBI的想法失败了?域名注册时限最高法院的第一份搜查令包括GOZ在2014年11月30日之前生成的域名。在搜查令到期前几天,最高法院答应了联邦调查局的第二次请求(有效期为2014年11月30日至2015年5月30日)。可是,为了然后与僵尸网络作战,联邦调查局将不得不无限期地提交请求。宙斯变体之花联邦调查局的行为大概不过加速了新宙斯变种的产生。今年7月,就在搜查令提交一具月后,布莱恩·克雷布斯在他的博客上报告了一具新的恶意软件,其中90%的代码都与GameOver宙斯有关。此外,2014年12月,新的宙斯变种被发觉。据卡巴斯基实验室的研究人员在他们的博客上报道,他们发觉了一种新的特洛伊木马,叫做"Chthonic",它是从另一具变种ZeusVM进化而来的。依照卡巴斯基研究人员的讲法,作为宙斯的后代,Chthonic瞄准了大量的网上银行系统,试图掌握并利用潜在受害者的网上银行凭证隐秘举行金融交易。到目前为止,超过150家不同的银行和横跨15个国家的20个支付系统受到了冲击。另一具有味的宙斯变种也在12月被发觉。联邦调查局报告讲,CC防御,新的变种是针对金融挪移应用而设计的。FBI网络部门助理主管约瑟夫·德马雷斯(Joseph Demarest)讲:"这种漏洞的一具例子是宙斯中间恶意软件,它是GameOver Zeus恶意软件的挪移版本,它本身算是FBI试图破坏的最复杂的恶意软件类型之一。"。此外,我们在实验室中发觉的几个CryptoLocker变体使用相同的DGA技术生成域名,但使用不同的顶级域(TLD)。例如,假如原始CryptoLocker算法创建了域'example.com网站,'此变体将创建'示例.net,这将导致一具相似但彻底不同的域。那个变种需要对代码举行最小程度的更改,我们实际上不确定它是为了绕过联邦调查局的行动,依旧作为原始密码锁勒索软件的多态分支而创建的。除非联邦调查局以所有大概的组合注册域名,否则它将无法跟踪新生成的域名。俄国人不参加竞赛为了有效地注册DGA使用的所有大概的域名,覆盖所有要紧的域名注册商是特别重要的。每个TLD注册商(.net、.biz、.ru、.org、.info或.com)属于不同的公司,负责监督其运营。所以,最高法院不得不对每家公司发出不同的搜查令,命令它们允许联邦调查局在自个儿的服务器上预先注册任何提供的生成域名,并将这些域名重定向或挖坑到联邦调查局操作的服务器上。在六个TLD中,有五个属于美国公司,它们都自动地与联邦调查局合作。此外,CryptoLocker使用了。联合王国这是一家英国公司,与美国调查小组联手。可是,最终一位注册官(.ru)的总部在俄罗斯,不愿意参与联邦调查局的调查。所以,每六个域名中就有一具未经联邦调查局注册,仍有大概被攻击者使用。这意味着攻击者能够特别容易地重新操纵受感染的计算机。由于FBI没有注册.ru域,攻击者仍然能够注册它们并与随机挑选这些域的受害者计算机通信。我们的研究表明,即使连接到联邦调查局(FBI)的地坑,GOZ仍会然后尝试连接到其他每日生成的域名,这大概是因为深坑服务器没有——或者不能——伪装成真正的宙斯服务器。这种事情以大约每10分钟一具域的速度发生。最后来,这些域中的一具将位于.ru TLD下,DDoS防御,在这种事情下,攻击者只需注册几个.ru域并耐心等待恶意软件最后来连接到其中一具域。除非即将清除感染,否则攻击者理论上能够在不到一天的时刻内重新操纵恶意软件。接着,攻击者能够简单地用一具只生成.ru域的修改版本更新恶意软件,即将重新获得彻底操纵权。我们实验室计算机(192.168.0.5)对GOZ通讯的监控结果。 对.ru域的每个DNS请求后面都有一具"no sus name"DNS响应。对非.ru域的DNS请求被解析为IP:54.83.43.69,即FBI的坑服务器,CC防御,接着是一具HTTP请求。在每次向FBI的"天坑"发出HTTP请求12到13分钟后,GOZ创建了一具新的请求到它生成的另一具域。最终的方法尽管联邦调查局以其完全的调查而著名,但在搜索GOZ僵尸网络的过程中,他们的行动打算显然有一些局限性。世界各地的执法机构在打击网络犯罪方面正变得越来越积极,最近欧洲刑警组织逮捕乌克兰宙斯"恶意软件团伙"就证明了这一点。可是,这些努力往往来得太晚,因为恶意软件的变种基本在黑暗地带蔓延开来。尽管执法机构应该更加积极地打击这些活动,但公司和个人也应该自行部署有效的谨防措施。


DDoS防御

当前位置:主页 > CC防护 > 服务器防ddos_ddos流量清洗_新用户优惠

标签列表
DDoS防御
网站分类
X
 

QQ客服

400-0797-119