ddos防火墙_cc防护是啥_想法-墨者安全-墨者盾
DDOS防御_CC防护_高防CDN服务器_【墨者安全】—墨者盾墨者盾—你的网站贴身保镖!

QQ:800185041
高防免费接入:400-0797-119

渠道合作:156 2527 6999

主页 > 网站防护 > ddos防火墙_cc防护是啥_想法

ddos防火墙_cc防护是啥_想法

小墨安全管家 2021-08-29 16:04 网站防护 89 ℃
DDoS防御
在2019年3月至5月期间,Morphisec实验室观看到一种新的高度复杂的ShellTea/PunchBuggy后门恶意软件变种,试图渗透到酒店娱乐行业客户网络内的多台机器中。据信,该恶意软件是由于多次尝试网络钓鱼而部署的。上一具记录在案的版本是在2017年,一次POS恶意软件攻击。鉴于Morphisec发觉的攻击所针对的行业的性质,我们假设这也是一次企图的POS攻击。由于Morphisec解决方案阻挠了攻击,POS恶意软件无法下载到机器上。这是2019年观看到的第一次特别有大概归因于FIN8的攻击,虽然有一些指标与已知的FIN7攻击(url和基础设施)重叠。在这篇报道中,我们调查了这种最新的贝壳茶变种,以及它在一具安全环境中引爆样本后下载的文物。图8-技术细节我们从详细检查无文件滴管的不并且期开始。无文件执行成功渗透后,恶意软件会经过注册表然后存在:HKEY\U CURRENT\USER\Software\Microsoft\Windows\CurrentVersion\Run 命令行执行将导致从不同的注册表值执行PowerShell代码:HKEY\u CURRENT\u USER\\Software\\[random name]。攻击者滥用PowerShell通配符机制,假设HKCU下的注册表中没有匹配S的其他项???软件边上的软件字符串。在寻觅下一时期执行时,这大概会使某些检测或介绍检查工具的有效性最小化。来自[random name]键的代码执行一具附加的PowerShell命令,该命令解码base64程序集并在内存中调用它,DDoS防御,并且将另一具[random name]注册表值(ShellTea外壳代码)作为参数传递给它:"Xshuzugewogazi"="$null=[System.Reflection.装配]●装载([系统。转换]::FromBase64String("TVq….");[LExR.J9fL]::YHvszr((猎取项属性-Path香港中文大学:软件\\Fpkakesude-名称Glyavonubafi).Glyavonubafi,0);"正在执行.NET程序集以执行外壳代码我们在前一时期看到的base64编码的程序集是一具.NET stager,它经过创建一具带有外壳代码项的新线程来自我注入外壳代码(来自上一时期的参数)。线程还需要一具参数(相同的外壳代码)才干正确执行。外壳代码自定义函数解析为了操作和规避标准分析工具,DDoS防御,大多数函数都被哈希化。哈希算法与之前的ShellTea版本有着高度的相似性,不过对种子和常量做了轻微的修改。在此版本中,攻击者还利用ole32中的函数举行流处理。注入资源治理器与前一具版本一样,ShellTea在经过资源治理器.exe过程。尽管它包含多种寻找资源治理器的想法,但首选想法是从当前桌面窗口猎取进程id。找到进程id后,外壳代码使用标准函数在资源治理器中分配和写入内存,接着使用低级API RtlCreateUserThread举行线程注入。虚拟环境和沙盒绕过ShellTea使用多种技术来识别它是在虚拟环境中运行依旧在被监视。按固件划分的虚拟环境ShellTea使用带有SystemFirmwareTableInformation标志的ntquerysysteminformation提取固件字符串信息。接着它经过Checkpoint搜索本文中描述的一组已知字符串(在本例中添加了其他字符串,例如visualstudio)。寻觅监视过程作为反调试或反监视技术的一部分,ShellTea迭代所有正在运行的进程,在每个进程名上应用CRC32(在将字符串转换为大写字母之后),DDoS高防,接着将该值与预定义的一组crc举行比较。请注意,先前版本中的一具错误基本修复,同时添加了更多的CRC。我们编写了一具基于一组已知进程的python足本,并确定了正在搜索的进程的列表。这些是:WINDBG.EXE文件, WIRESHARK.EXE文件, PROCEXP.EXE程序, PROCMON.EXE程序, TCPVIEW.EXE文件, OLLYDBG.EXE, IDAG.EXE文件,IDAG64.EXE,DUMPCAP.EXE文件, FILEMON.EXE文件,DDoS防御,IDAQ64.EXE,IDAQ.EXE文件, IMMUNITYDEBUGGER.EXE, PETOOLS.EXE, 注册表.EXE, SYSER.EXE文件, TCPDUMP.EXE, WINDUMP.EXE文件, APIMONITOR.EXE,APISPY32.EXE,虹膜.EXE, NETSNIFFER.EXE,WINAPIOVERRIDE32.EXE,WINSPY.EXE文件验证硬盘卷硬盘卷名用SHA1散列,并与预配置的SHA1举行比较。 持续性成功绕过沙盒后,外壳代码将执行持久性模块。假如攻击尚未持续(预先验证),它将解密PowerShell base64命令,接着解密CMD命令以获得持久性,并将这些命令写入注册表,如第一步所述。请注意,每个字符串都使用不同的异或参数解密,这大概会使一些自动分析器失败。C2协议命令ShellTea后门在HTTPS之上举行通信,并基于从C2服务器返回的内容支持很多命令。它能够将从C2接收到的数据/外壳代码写入注册表可反射地将其加载到可执行进程中(接着可将其加载到可执行文件中)它能够创建一具文件并将其作为进程执行,接着将其标记为已删除(重新启动后)它能够经过创建额外的线程来执行外壳代码它能够使用下载的native Empire ReflectivePicker执行任何PowerShell命令(稍后将介绍)。沟通ShellTea是代理感知恶意软件-假如直截了当通信失败,它将尝试执行代理感知API。大多数API基本上标准的,同时是从wininet映射的。对嵌入域举行解密后,我们得到以下列表:telemerty cdn cloud[.]主机,reservecdn[.]pro,wsuswin10[.]us,telemetry[.]主机在调查时,telemerty cdn cloud[.]主机被使用并映射到104.193.252[.]162。注意,最近的Fin7攻击中也使用了cdn子串,这是一种绕过一些网络过滤器和DLP解决方案的方便想法。ShellTea还使用ole32流对象函数(例如CMemStm::Write)来操作下载的内存流(InternetReadFile直截了当将其下载到流中)。C2使用附加的可选数据标识post请求,这些数据在使用HttpSendRequestA的头请求之后即将发送。例如,在ReflectivePicker下载的事情下,可选数据将包含嵌入的cookie和作为命令的字节"b"。假如需要发回一具缓冲区(假如是在端点收集的侦查数据),则会在数据上附加一具魔术头cookie,并按原样(固然是加密的)经过可选缓冲区发送。侦察时期shell代码下载的第一具构件是PowerShell代码和.NET本机ReflectivePicker。因为PowerShell是在PowerShell外部(从Explorer进程内)执行的,它将绕过很多黑名单谨防。PowerShell下载PowerShell足本收集有关用户和网络的所有大概信息,包括快照、计算机和用户名、来自注册表的电子邮件、任务打算程序中的任务、系统信息、在系统中注册的av、权限、域和工作组信息。结果被gzip压缩并保存在temp文件夹中的随机文件下。成功收集信息后,数据被发送回指挥操纵中心,文件被删除。帝国反射采样器如前所述,PowerShell是使用Empire项目中的reflectiveLoaded ReflectivePicker执行的——它使用在外壳代码中动态加载的CorBindToRuntime来加载CLR。结论酒店业,尤其是其POS网络,仍然是网络犯罪团伙最为瞄准的行业之一。除了这次由FIN8发起的攻击之外,我们还看到了FIN6、FIN7和其他人的多次攻击。很多POS网络运行在windows7的POS版本上,这使得它们更容易受到漏洞的攻击。更重要的是,攻击者懂很多POS系统运行时惟独差不多的安全性,因为传统的杀毒软件太重,需要不断更新,这大概会干扰系统的可用性。正如我们在那个地点看到的,攻击集团不断创新,并从他们的错误中吸取教训-从之前版本的ShellTea中能够明显看出很多改进和错误修复。所实现的技术能够特别容易地避开标准POS谨防。Morphisec即将阻挠了这种攻击,使其无法访咨询POS端点。它是轻量级的,不需要更新,也不需要在线来提供全面的爱护。此外,它还能够作为Windows7系统的补偿控件,提供一具虚拟补丁来爱护漏洞。人工产品贝壳茶后门:37572C3636357D59D4B9EFD882C49EF7525370FFB5197AD86反射挑选器:DC162908E580762F17175BE8CCA25CF3PowerShell侦察足本:4BEB10043D5A1FBD089AA53BC35C58CA域:telemerty cdn云[.]主机cdn公司-亚马逊俱乐部保留[专业]wsuswin10[.]美国遥测[.]主机IP地址:104.193.252[.]162:44337.1.204[.]87:443

ddos防火墙_cc防护是啥_想法


DDoS防御

当前位置:主页 > 网站防护 > ddos防火墙_cc防护是啥_想法

标签列表
DDoS防御
网站分类
X
 

QQ客服

400-0797-119