云盾_国外高防_怎么防-墨者安全-墨者盾
DDOS防御_CC防护_高防CDN服务器_【墨者安全】—墨者盾墨者盾—你的网站贴身保镖!

QQ:800185041
高防免费接入:400-0797-119

渠道合作:156 2527 6999

主页 > 高防服务器 > 云盾_国外高防_怎么防

云盾_国外高防_怎么防

小墨安全管家 2021-08-26 13:14 高防服务器 89 ℃
DDoS防御

云盾_国外高防_怎么防

Morphisec实验室的团队基本在我们的客户网站上阻挠了9月10日和11日的一场大规模的Trickbot和Emotet网络钓鱼活动。Trickbot是当今最先进的恶意软件框架之一,DDoS防御,它不断地以更创新的想法来实现其目标。Emotet银行特洛伊木马也非常惊险,在沉默了近五个月后,目前在全球范围内活动日益频繁。最近几周,法国、日本和新西兰政府都对Emotet发出了警告;这突出了特洛伊木马的惊险性。我们往常写过Trickbot的文章,最近一次是在2月份,DDoS防御,它升级了windows10,并跟踪了它的进展。那个最新的网络钓鱼活动显示了Emotet和Trickbot使用相似的dropper和钓鱼文档。技术细节Word宏:网络钓鱼攻击的目标将收到以下带有躲藏重要文本的嵌入图像的文档。那个"重要文本"代表了攻击的一部分。图1:带有含糊文本的文档。图2:暴露的躲藏文本当增加字体大小和更改颜色(最初文本为白色,这是一种已知的躲藏代码的想法)时,防DDoS,我们能够看到威胁参与者使用"Lorem ipsum"虚拟文本和以下字符串:C: \用户\公共\winmgmts:Win32进程跑道32Certutil-解码c回显(宏不使用)Base64长字符串图3:代码字符串图4:Word中的宏文本。VBA宏:VBA宏是很简单的,没有混淆,以幸免触发嘈杂的供应商。图5:宏宏执行在文档关闭时触发。Button_Click2功能经过段降行号从单词内容中提取文本(ActiveDocument.段降). 函数猎取两个参数,它们表示段降行号和字符串包含的字符数。如前所述,直截了当从文本中检索的值:STP-C:\Users\Public\Ksh1Ms13-WMI对象(winmgmts:Win32_进程)一具-Certutil-decode两个-Rundll32从单词内容中猎取所有必需的值后,所有未编码的字符串都将被删除(活动文档范围(开始:=0,结束:=3561)。删除)。这使得逆向工程和非高级取证工具复杂化,CC防御,因为文档在第一次执行之后就没有任何用处了。此刻,经过使用SaveAs2包装器函数SaveAs3将编码的Base64保存到具有xls和doc扩展名的文本文件中。在我们的例子中,它分别是C:\Users\Public\Ksh1.xls和C:\Users\Public\Ksh1.doc。图6:编码的Bas64被保存到文本文件中。下一具时期是经过使用wmicprocess类的Create想法来启动一具新的进程,那个进程由命令行参数(在我们的例子中是Task参数)描述。该想法执行两次:执行Certutil进程,这是一种已知的利用windows进程对base64文本举行编码和解码的想法,用于解码将添加.pdf扩展名的base64编码dll下载器;Certutil-decode C:\Users\Public\Ksh1.xls C:\Users\Public\Ksh1.pdf。使用Rundll32和"In"作为导出函数来执行解码后的dll。在其他事情下,我们使用修改的导出名称和略微不同的功能删除emotes来识别类似的dll(将在下一节中描述)经过使用Sleep函数,在调用之间引入了6秒的延迟。图7:Trickbot下载器Trickbot下载程序:Trickbot下载器是一具很薄的12kb dll,它伪装成pdf文件扩展名(如上所述)。它实现了3个功能;生成Trickbot名目:图8:生成Trickbot名目下载Trickbot或其他有效载荷exe/dll:图9:下载有效负载执行Trickbot exe/dll:在某些事情下,它使用regsvr32来执行下载的dll。图10:执行Trickbot exe/dll结论Trickbot和Emotet是当今最具破坏性的两个特洛伊木马。这些网络钓鱼攻击进一步表明了这一事实,并展示了威胁参与者经过创新想法规避以检测为中心的解决方案的能力。Morphisec的客户能够保持信心,经过应用我们的专利挪移目标谨防技术,他们能够免受这两个特洛伊木马的攻击。IOC公司文件:6DBDD1EFCAB25EAAEC2217E9BCBF0718C773128BFE2A0B16CC892D89A1A46DA6Trickbot下载程序:97905289B5C3B70769C8EDC70C9CB66313EE7F7D24B46810BC244B0423DC88ATrickbot下载程序模式:Rundll32 C:\Users\Public\Ksh1.pdf,在Rundll32 C:\Users\Public\4s1d.pdf,BiTrickbot下载URL:hxxp://178.62.19[.]66/坎波/伏/伏hxxp://178.62.19[第66号/坎波/a/a编织物执行模式:C: \Users\Public\cs5.exeC: \Windows\System32\regsvr32.exe/i C:\Users\Public\m2n\m2n.dll经编织物:5EC3FCA3F0FA3232C85ACE8EA6205623149452B70BEE29706984E2C96E1998三轮车配置一级c2103.130.114[.]106:449103.221.254[.]102:449103.36.48[.]103:449103.87.169[.]150:449107.174.196[.]242:443110.232.249[.]13:449112.109.19[.]178:449121.101.185[.]130:449158.181.155[.]153:449177.190.69[.]162:449180.211.170[.]214:449180.211.95[.]14:449183.81.154[.]113:449185.164.32[.]214:443185.164.32[.]215:443185.205.209[.]241:443186.159.8[.]218:449187.109.119[.]99:449194.5.249[.]174:443195.123.240[.]252:443195.123.241[.]187:443[1951.123]第241.123节198.46.198[.]139:443200.116.159[.]183:449200.116.232[.]186:449212.22.70[.]65:443220.247.174[.]12:44927.147.173[.]227:44936.94.33[.]102:449[公元前448年第127页]45.138.158[.]32:44345.148.120[.]195:4435.149.253[.]99:4435.34.178[.]126:44351.89.177[.]20:44382.146.46[.]220:44386.104.194[.]116:44388.247.212[.]56:44992.62.65[.]163:449抓斗:该公司位于北京市第二大院,该院位于北京市第二大院,该院的第六座(中卫)服务于该市(srv)51.89.177177[.]20:443194.5.249[.]174:443107.174.196[.]242:443185.205.209[.]241:443185.205.209[.]241:44382.146.146.46[.]220:4435.34.34.34.34.34[[[[[该县220:44178[.]126:443212.22.70[.]65:443195.123.241[.]90:443185.164.32[.]214:443198.46.198[.]139:443195.104.194194194【】187:44386.104.194194【】116:443195.123.240 240【】252:443185.164.32【】215:443185.164.32【】215:44345.148.120【.】195:44345.138.158.158。[32:4435.149.149.149]99:44392.62.65[.]163:44988.247.212[.]56:449180.211.170[.]214:449186.159.8[.]218:449158181.155[.]153:449220.247.174[.]12:449>220.247.174[.]12:449183.81.1541.154]113]113:449121.101.185[.]130:449200.116.159[.]183:449200.116.232[.]186:449103.87.169[.]150:449180.211.95【】14:449103.36.48【】103:44945.127.222【.]8:449112.109.19【本周】178:44936.94.33[.]102:449110.232.249[.]13:449110.232.249[.]13:449177.190.69[.]162:449177.190.69[.]162:449hbspt.cta公司.\u relativeUrls=真;hbspt.cta.负荷(1534169,'50a31aff-4b4e-4380-ac52-defb884f8d75',{});


DDoS防御

当前位置:主页 > 高防服务器 > 云盾_国外高防_怎么防

标签列表
DDoS防御
网站分类
X
 

QQ客服

400-0797-119