RIG exploit kit返回,带有修改防DDoS的模式和免费生成的“freenom”域-墨者安全-墨者盾
DDOS防御_CC防护_高防CDN服务器_【墨者安全】—墨者盾墨者盾—你的网站贴身保镖!
QQ:800185041
高防免费接入:400-0797-119

渠道合作:156 2527 6999

主页 > 行业资讯 > RIG exploit kit返回,带有修改防DDoS的模式和免费生成的“freenom”域

RIG exploit kit返回,带有修改防DDoS的模式和免费生成的“freenom”域

小墨安全管家 2020-11-23 01:51 行业资讯 89 ℃
DDoS防御

RIG exploit kit返回,带有修改的模式和免费生成的“freenom”域

本报告作者:迈克尔·戈雷利克和阿萨夫·卡克龙。上周的恶意软件新闻充斥着被Morphisec的安全解决方案曝光的CCleaner后门。本周Morphisec发觉了另一具正在举行的恶意软件攻击,这一次是一具驱动下载攻击,它使用了旧的(在黑客时代)最受欢迎的RIG exploit工具包的修改版本。RIG最早出如今2014年,它通常使用gates将受害者从一具受损网站重定向到包含EK的登录页面,利用感染链中JavaScript、Flash和VBscript中的漏洞。在过去的10天里,Morphisec的威胁预防解决方案阻挠了一具修改后的钻机漏洞工具包,该工具包在一具要紧的"驾车下载"活动中分发给了大量客户。在客户收到有关网络攻击的通知后,我们即将确定了漏洞工具包的类型和已交付的攻击。我们向Freenom.com网站,域注册实体。过去几个月,下载攻击向量的驱动力急剧下落,CC防御,要紧由钻机开辟工具包主导。今年2月至5月间的一次重大撤军行动对行动造成重大阻碍。可是,如今,他们也许又重操旧业了。本月早些时候,恶意软件Bytes报道了一具利用RIG发送公主勒索软件的活动。Morphisec发觉的钻机活动提供了烟雾装载机和采矿机,其中包括在注册表中持续存在的规避技术。技术细节在调查预防日志的过程中,我们确定了IP和域以提供攻击工具包。这是一具单一的领域——camp200917[.]gq——引发了我们的兴趣。尽管那个域名是免费注册的,但它显然暗示了一场有针对性的活动。我们决定验证是否基本用相同的名称注册了其他顶级域。在寻觅额外的免费域名注册时,我们发觉"Freenom.com网站". 令人惊奇的是,经过与camp200917相关的Freenom服务提供的所有顶级域都已注册,同时大多数域指向同一具IP:camp200917[.]ml=>IP1,camp200917[.]tk=>IP1,camp200917[.]cf=>IP2,camp200917[.]gq=>IP1,camp200917[.]ga->IP2。在写这篇博客的时候,camp200917[.]cf和camp200917[.]ga仍然很活跃,提供了Flash、JavaScript和Silverlight的开辟。当前活动域正在转发到RIG gate 5[.]23.49.9和92[.]53.104.143…,虽然我们也观看到其他IP。 新装备模式本次活动中观看到的新钻机模式为:?MzAxNjQ4酒店&恐怖=Qwc0m41cBFgRpK3_jkCEyxWV0pWD_BaMMwhB-5GXQLI90V_3nlvcdm8iwrd6gnunuktyl4Gpqlr2a_I&森林=xQvQMrPYbR7FFYHfKP kbemurwa0ekwy2zha3vf5qxfdtgpl1fxzspvydcfyemvzvdlchiweh1uba&萨拉=MjI3NTUyODU=/?NDIzODc4型&森林=xh3qmrxybrrfybkp_EUKdEMUzWA0OKwY-Zha_v5yxfdtgpbl1fxjspvidcf6emvbvdlahiweh1ufaswe&恐怖=0m4tcBF4RpKv jkWEyxeV0pWD_BCMMw5B-5exqq90vz3nlvcdm8iwrd6gnunustuvkr4qgtnqz7vako-w&土地=奥杜兹MJQXOA==/?NTE3MZCW&恐怖=SwRhmIoMA15G9q37jUTSnBOd05TWqRePMwhD_pDBFrJp21_zx7BHcMkmlBeEu2ABzuktYlggpQlR2a_I&森林=xhvqmrxybrvfyffkpreukdemu7wa0skwy2zhazvf5yxfdfgpl1fxzsvydcfyemvjvdlehiwkh1uta&月亮=NDYxMDY5NDU=/?MTU0MTk3&恐怖=3Yislbl5apkj920sgmhocgpwlqbcnzakt95cxfrnoxrusdmoklhse6wibmoktw1kw5agsnav7vaso-w&森林=xhzqmrpybrffybfkp_eukdemu7wa0okwyyzhazv5yxfdxgpbd1fx_spvydcf6emvdlmhiwah1utswe&土地=ndm5 mty2类型=/?NjA3NDcx公司&森林=xX3QMvWebRXQCZ3EKv_cT6NBMVHRHkCL2YudmrHSefjaeVWkzrbFTF xozKASwSG6_ZtdfJ&恐怖=VDVW1jBPUKAcyz9tZAQkT8qun20LVzECdiJWA_kaJYAlM-ZaUF-A93V2km7AkQPslg1TH7GI&萨拉斯=MjE2OTg2NDg= 同一周早些时候,DDoS防御,我们观看到额外的参数三胞胎,如海,DDoS防御,暖,该死和其他。持续烟雾装载机/矿工:下载了def84temp(def84temp.def8e389def8e389def84temp.def8e389def84temp.def8e389e名目。作为第一步,它会杀死并禁用一些鉴证工具进程(例如process explorer、Wireshark)。随后,它注入到多个进程中,并经过注册表保持自身。  结论Morphisec Endpoint Threat Prevention解决方案在未将特洛伊木马下载到磁盘的事情下阻挠了攻击。另外,我们研究了Morphisec是否也会阻挠Smoke Loader可执行文件。正如预期的那么,Morphisec还阻挠了在任何损坏发生之前加载可执行文件。 Morphisec的专利挪移目标谨防技术能够防止这种攻击,非常是在整个攻击链上,但也能够在没有任何特征、模式或行为的先验知识的事情下,防止网络攻击。hbspt.cta公司.\u relativeUrls=真;hbspt.cta.负荷(1534169,'d2bd484f-10a5-4b85-a30d-20e42ae3637b',DDoS防御,{});


DDoS防御

当前位置:主页 > 行业资讯 > RIG exploit kit返回,带有修改防DDoS的模式和免费生成的“freenom”域

标签列表
DDoS防御
网站分类
X
 

QQ客服

400-0797-119