服务器总CC防御被攻击-墨者安全-墨者盾
DDOS防御_CC防护_高防CDN服务器_【墨者安全】—墨者盾墨者盾—你的网站贴身保镖!

QQ:800185041
高防免费接入:400-0797-119

渠道合作:156 2527 6999

主页 > CC防火墙 > 服务器总CC防御被攻击

服务器总CC防御被攻击

小墨安全管家 2021-01-14 08:17 CC防火墙 89 ℃
DDoS防御
Kingminer是一具机遇主义的僵尸网络,试图(并不总是成功地)在雷达下飞翔,但它仍然是一具持续的苦恼,它将加密货币矿工作为有效载荷。僵尸网络的运营商大概雄心勃勃,能力强大,但他们也许没有无尽的资源,所以他们利用任何免费的解决方案来解决感染机器和传播的咨询题,从公共领域的工具和APT群体使用的技术中获得灵感。今天早上,SophosLabs公布了我们的报告,这是对日益复杂的Kingminer僵尸网络的一具内部观点。在本报告中,我们将对僵尸网络的战术、技术和程序举行深入剖析,以期给分析师和事件响应者一具路线图,用以堵住这种威胁利用其优势的漏洞。我们研究的要紧发觉是:Kingminer经过暴力强制SQL服务器的用户名/密码组合来传播,最近开始尝试使用EternalBlue漏洞。感染过程大概使用特权提升漏洞(CVE-2017-0213或CVE-2019-0803)试图阻挠软件(或治理员)阻挠攻击者的活动。僵尸网络的运营商更爱慕使用开源或公共领域的软件(如powerspolit或Mimikatz),并证明他们有脚够的技能来定制自个儿的增强功能。他们使用诸如DLL侧加载(DLL-side-loading)如此的技巧,这是中国APT组织传统上使用的一种想法,在网络犯罪活动中正日益猖獗僵尸网络使用域生成器算法(DGA)来潜在地改变它用于命令和操纵或每周自动交付有效负载的域假如受感染的计算机没有针对Bluekeep漏洞举行修补,Kingminer会禁用易受攻击的RDP服务,以锁定竞争的僵尸网络下载服务器Kingminer僵尸网络使用两种要紧的想法来托管交付的内容。第一种想法依靠于罪犯自个儿注册和治理的服务器,通常使用简单的时刻编码域名生成算法(DGA)。这些服务器提供的组件带有明显的恶意内容。关于不这么明显的恶意内容,运营商使用Github提供的公共存储库。这是它们存储文件的地点,比如xmrig miner有效负载、反射加载程序足本或Mimikatz密码窃取器。这些组件本身不就是恶意的,但它们使用的上下文(未经用户接受,经过感染目标计算机而安装)显然是恶意的。时刻编码DGA攻击者在机器人程序中嵌入了一具算法,该算法使用当前日期和时刻的值生成域名。这种想法的优点是恶意软件不必为命令和操纵存储硬编码地址。相反,DDoS防御,机器人是动态生成的,并随时刻变化。如此,假如其中一具下载服务器被关闭,运营商就不必公布下载位置更新的新版本的下载程序。相反,他们只需注册下一具域名,到时候,僵尸网络就会自动切换到新的下载服务器。生成的域名具有以下结构:黄色部分是域名的核心部分。在观看到的案例中fdae.tk公司, fdae.com网站或者fghh.com网站,但在侧面加载DLL中发觉的字符串表明,攻击者还大概使用佐治亚州或者fdae.cf在域核内心。域核心以绿色前缀完成,由当前的年/月/周值组合而成(在本例中为week=day/7,四舍五入),仅使用年份的最终两位数字,格式为:yymmwwyy。结果数字将转换为十六进制数。在上面显示的示例中,域的日期部分是0x30713,当转换为十进制形式时得到198419,CC防御,使得日期值为yy=19,m=8,w=4。该域名将在2019年8月的第5周使用。红色子域部分是依照当前时刻的分秒值创建的。虽然这种机制使得每周使用不同的服务器成为大概,但僵尸网络运营商从未充分利用这一机遇——绝大多数潜在的服务器名称从未使用,也从未注册,很多组件使用硬编码位置。Github存储库我们基本找到了20多个Github用户帐户,它们被用来传送Kingminer僵尸网络的内容。这些存储库并不是很活跃,从某种意义上讲,它们只被提交了一两次。第一次提交通常是实际恶意组件的上载,接着举行可选的更新,这大概会幸免安全产品并且添加的检测。存储库的典型内容包括以下文件:txt:32位miner,异或加密cab:32位miner side loader cab包存储在XML中txt:32位miner,异或加密cab:32位miner side loader cab包存储在XML中txt:32位操纵面板小程序,BASE64编码txt:64位操纵面板小程序,BASE64编码txt:32位Mimikatz,异或加密txt:64位Mimikatz,异或加密txt:反射加载程序,BASE64编码感染过程到目前为止,我们唯一能确认的感染想法是SQL Server使用用户名/密码组合举行暴力探测的攻击;成功后,攻击者插入加载其余组件的SQL命令足本。最近,我们看到一些迹象表明Kingminer僵尸网络的运营商开始尝试一种永恒蓝传播工具。我们基本看到那个足本被传送到被感染的系统,然而没有观看到一具成功的感染是由于那个攻击。EternalBlue足本与另一具miner僵尸网络Powerghost/Wannaminer(它本身或多或少基于PowerShell帝国)中的实现很相似。下载程序足本不管使用哪种感染想法,第一步基本上执行下载程序足本,负责猎取和安装其余僵尸网络组件。攻击者为目标操作系统精心设计了自定义有效负载,为32位和64位Windows系统部署了不同的版本。下载的负载不是纯可执行文件。相反,它被打包到一具XML文件中。XML文件包含ZIP或CAB归档文件,后者又包含必要的组件。有效载荷装载一旦下载程序足本从攻击者的服务器猎取有效负载,它就会执行负载,通常是利用DLL侧加载技术来执行负载,这种技术在中国APT组[1]中长期流行。利用Windows操作系统的特点,利用该想法举行名目检索。从远程服务器下载的有效负载最初打包在XML信封中:Tvendrgaaaabsiqwaaaaaaaaaaaaaawaaaaawaaaaaaicqaaadgaae4aaxuahgaaaaaaaaaaa7Jritcaazhdtzsuizxhlaakagaahgaaablujksiabkdxnlci5kbgwaabwkaaqgaaaetq5IggAHgudHh0AG/ldhieowcaw4cajqugt8vxwwwakigaaadvxqnrvqa+UOVR0mSSIhLQ解压缩时,典型的64位软件包的内容如下所示:包中的要紧组件包括:一具干净的,数字签名的,可信的可执行文件(上例中的exe)恶意加载程序DLL加密有效载荷(txt)clean可执行文件的目的是对Windows DLL库具有外部依靠性,这是一种迂回的方式,能够触发操作系统执行恶意软件,而不直截了当调用恶意软件DLL。当downloader足本执行(良性).exe时,操作系统会尝试解析DLL依靠关系,这是经过寻找DLL来实现的。它搜索的第一具位置是包含可执行文件的名目,讽刺的是,它不是system32名目,Windows在那儿保存(并爱护)所有合法的DLL文件。所以,CC防御,它会自动加载恶意DLL,并执行entrypoint函数,接着将加密的负载加载到内存中,接着对其举行解密。接着恶意加载程序DLL使用内存中的PE加载器将解密后的内存块转换为正确的可执行映像,类似于操作系统的操作方式(即为节分配内存、设置节属性、解析导入、定位入口点)。最终,它在可执行文件的入口点加载有效负载。假如加载成功,加载程序将进入无限等待循环。之于是如此做,是因为有效负载是在一具单独的线程中启动的,主线程永久不大概停止,miner能够无限期地运行,这是一具重要的思量因素,因为DLL本身并不创建任何想法来确保其自身的持久性。恶意软件修复BlueKeep阻挠其他感染其中一具比较有味的组件是一具简单的VBScript代码,CC防御,它能够检查Windows内部版本号,搜索5.0(Windows 2000)、5.1(Windows XP)、5.2(Windows XP 64或Windows Server 2003)、6.0(Windows Vista或Windows Server 2008)或6.1(Windows 7或Windows Server 2008 R2)–所有这些都不再受支持大概会受到BlueKeep漏洞的攻击。假如恶意软件识别出它正在任何易受攻击的系统上运行,代码将然后使用命令列出已安装的修补程序,并搜索与Bluekeep相关的修补程序:kb4499175:Windows 7 SP1kb4500331:Windows XP、Windows Server 2003 SP2KB4499149:Windows Server 2008 SP1KB4499180:Windows Server 2008 SP1KB4499164:Windows 7 SP1假如没有找到任何修补程序(所以系统容易受到Bluekeep攻击),则足本将禁用进一步的远程桌面(RDP)。这种意图特别大概会禁用其他加密僵尸网络大概用来感染计算机的感染载体。尽管那个漏洞并没有被广泛使用,但据报道有几个僵尸网络使用了它。Xmrig矿工要紧有效载荷和最重要的组件

服务器总被攻击_如何处理_福建纸牌谨防


DDoS防御

当前位置:主页 > CC防火墙 > 服务器总CC防御被攻击

标签列表
DDoS防御
网站分类
X
 

QQ客服

400-0797-119