无视ddos_备案_防ddos攻击中新金盾-墨者安全-墨者盾
DDOS防御_CC防护_高防CDN服务器_【墨者安全】—墨者盾墨者盾—你的网站贴身保镖!

QQ:800185041
高防免费接入:400-0797-119

渠道合作:156 2527 6999

主页 > CC防火墙 > 无视ddos_备案_防ddos攻击中新金盾

无视ddos_备案_防ddos攻击中新金盾

小墨安全管家 2021-04-07 15:11 CC防火墙 89 ℃
DDoS防御
脸谱网0linkedin0推特0阅读时刻:~5最小起始时刻TrickBot banking特洛伊木马于2016年末开始运行,不断举行更新和更改,试图率先谨防者和互联网安全提供商一步。尽管TrickBot并不总是最秘密的特洛伊木马,但它的作者在使用新的分发载体和为其产品开辟新功能方面向来保持一致。2018年3月15日,Webroot观看到TrickBot正在下载一具模块(tabDll32/tabDll64),而这一次在野外还没有见过。看来TrickBot的作者们仍在试图利用MS17-010和其他横向挪移想法与此模块相结合,试图为该集团创建一具新的货币化方案。你能够教老机器人老把戏分析样品0058430e00d2ea329b98cbe208bc1dad–主样本(包装)0069430e00d2ea329b99cbe209bc1dad–bot 32位下载的模块711287e1bd88deacd048424128bdfaf–systeminfo32.dll58615f97d28c0848c140d5e78ffb2add–injectDll32.dll30fc6b88d781e52f543edbe36f1ad03b–WORMDL32.dll5be0737a49d54345643c8bd0d5b0a79f–sharedl32.dll88384ba81a89f800a124189ed69af5c–importDll32.dll3def0db658d9a0ab5b98bb3c5617afa3–mailsearcher32.dll311fdc24ce8dd700f951a628b805b5e5–tabDll32.dll行为分析执行后,TrickBot的此迭代将自身安装到%APPDATA%\TeamViewer\名目中。假如bot尚未从其安装名目执行,它将从此名目重新启动并然后操作。一旦从安装名目运行,TrickBot将写入常用的group_标记和client_id文件,并且创建一具"Modules"文件夹,DDoS防御,用于存储加密的即插即用模块和bot的配置文件。图1:TrickBot的即插即用模块,用于扩展机器人的功能上面显示的很多模块往常都有文档记录。systeminfo和injectDll模块从一开始就与bot耦合。mailsearcher模块于2016年12月添加,蠕虫模块于2017年7月底被发觉。那个地点感兴趣的模块是tabDll32,因为那个模块往常没有记录。在内部,该模块名为spreader_x86.dll,并导出与其他TrickBot模块类似的四个函数。图2a:窥视内部tabDll.dll图2b:异常大的.rdata节该文件有一具异常大的rdata部分,这被证明是相当有味的,因为它包含两个额外的文件,计划由spreader_x86.dll使用。撒布器模块包含一具附加的可执行文件SsExecutor_x86.exe和一具附加模块screenLocker_x86.dll。每个模块将在其各自的章节中举行更详细的描述。撒布器_x86.dll在IDA中加载新的TrickBot模块时,您将看到加载调试符号文件名的选项。图3:下载模块的调试符号文件名tabDll.dll这让我们预览了TrickBot开辟人员怎么构建当前正在开辟的新模块。当深入研究该模块时,特别明显,该模块利用MS17-010经过受感染的网络横向传播。图4:用于横向挪移的EternalRomance漏洞的字符串引用此模块也许利用了横向挪移,试图将嵌入式可执行文件设置为被开辟系统上的服务。另外,TrickBot的作者也许还在开辟那个模块,因为GitHub中的部分模块反射dll注入机制被窃取了。图5:从改进的reflectivedlinjection复制代码图6:GitHub上复制的项目中的Printf语句sExecutor_x86.exe新模块的第二时期以可执行文件的形式浮上,该可执行文件将在攻击后运行。同样,TrickBot的作者特别兴奋为我们介绍了调试符号文件路径。图7:嵌入式PE文件的调试符号文件名。运行时,此可执行文件将迭代注册表中的use profiles,并转到每个概要文件,将复制的二进制文件的链接添加到启动路径。这发生在横向运动发生后。图8:迭代用户配置文件并创建图9:执行复制的二进制文件ScreenLocker_x86.dll同样,防DDoS,关于其他的TrickBot模块,DDoS高防,那个模块是用Delphi编写的。这是TrickBot第一次展示任何试图"锁定"受害者机器的企图。图10:在screenLocker_x86.dll中窥视此模块导出两个函数,DDoS防御,"MyFunction"和一具反射DLL加载函数"MyFunction"也许是正在举行的工作:图11:窥视"MyFunction"内部图12:创建储物柜窗口假如TrickBot开辟人员正试图完成那个锁定功能,这会引起人们对该集团商业模式的有味推测。在你可以窃取受害者的银行凭证之前,锁定受害者的电脑会提醒受害者他们已被感染,从而限制了信用卡或银行被盗的大概性。可是,勒索受害者解锁他们的电脑是一具简单得多的赚钞票方案。值得注意的是,这种锁定功能只在横向挪移之后部署,这意味着它将要紧用于针对未匹配的公司网络。在公司环境中(使用未修补的计算机),备份特别大概也不存在。作者们也许开始了解他们的目标受众,以及怎么最好地从他们身上赚钞票。在企业网络中,用户不太大概经常访咨询目标银行的网址,与锁定数百台机器相比,过滤银行凭证是一种不太成功的赚钞票模式TrickBot的作者然后针对世界各地的金融机构,使用MS17-010漏洞,试图成功地在受害者的网络中横向挪移。这是与一具未完成的"屏幕锁"模块结合在一起的一具新的大概的企图勒索受害者的钞票。TrickBot banking特洛伊木马仍在不断的开辟和测试中,其开辟人员不断努力,以保持率先于网络安全专业人士一步之遥。对于作者杰森·戴维森高级威胁研究分析员Jason是一名恶意软件威胁研究人员,研究现代恶意软件中使用的最新技术。他为Webroot工作,研究并逆转最新的恶意软件家族,识别新功能和TTP。脸谱网0linkedin0推特


DDoS防御

当前位置:主页 > CC防火墙 > 无视ddos_备案_防ddos攻击中新金盾

标签列表
DDoS防御
网站分类
X
 

QQ客服

400-0797-119