ddos清洗_高防初为_免费测试-墨者安全-墨者盾
DDOS防御_CC防护_高防CDN服务器_【墨者安全】—墨者盾墨者盾—你的网站贴身保镖!

QQ:800185041
高防免费接入:400-0797-119

渠道合作:156 2527 6999

主页 > 网站防护 > ddos清洗_高防初为_免费测试

ddos清洗_高防初为_免费测试

小墨安全管家 2021-09-08 05:48 网站防护 89 ℃
DDoS防御
INDRIK SPIDER是一家成熟的Echrime集团,自2014年6月开始运营Dridex。在2015年和2016年,Dridex是市场上数量最多的Echrime银行特洛伊木马之一,自2014年以来,这些努力被以为为INDRIK SPIDER带来了数百万美元的犯罪利润。在其多年的运作中,Dridex基本收到了多个更新,开辟了新的模块,并为恶意软件添加了新的反分析功能。2017年8月,据报道,一种新的勒索软件变体被认定为BitPaymer的英国国家卫生服务(NHS),其赎金量高达53 BTC(约200000美元)。以组织而不是个人为目标,以及高额的赎金要求,使得比特币在当时的其他勒索软件中脱颖而出。尽管BitPaymer的加密和勒索功能在技术上并不复杂,但恶意软件包含与Dridex重叠的多个反分析功能。后来对BitPaymer的技术分析表明,它是由INDRIK SPIDER开辟的,这表明该组织基本扩大了其犯罪活动,将勒索软件作为一种货币化战略。2017年初,INDRIK SPIDER的Dridex业务也迎来了一具转折点。Dridex的垃圾邮件活动明显减少,新的广告活动从高容量和高频率转向更小的、有针对性的分发。在此期间,Dridex的快速进展也有所放缓,2017年公布的版本比往年少。CrowdStrike®Falcon®智能™ 还观看到了Dridex感染与BitPaymer勒索软件之间的强烈相关性。在涉及BitPaymer的事件中,在部署BitPaymer恶意软件之前,Dridex安装在受害者网络上。另一具不平常的观看是,Dridex和BitPaymer基本上经过受害者网络传播的,使用传统上与民族国家行为者和渗透测试相关的横向挪移技术。这些有挑选地以高勒索软件支付为目标的新策略,标志着INDRIK SPIDER的行动发生了转变,将新的重点放在有针对性、低交易量、高回报的犯罪活动上:一种我们称之为大型游戏狩猎的网络犯罪行动。自这一转变以来,DDoS防御,INDRIK SPIDER将BitPaymer勒索软件作为这些操作的关键工具,DDoS防御,在勒索软件运营的前15个月净赚约150万美元。定向交付Falcon Intelligence为多个主动比特支付者事件响应(IR)提供了支持。从这些交战中收集的信息,再加上往常的Dridex IR交战信息,能够深入了解INDRIK SPIDER怎么部署和操作Dridex和BitPaymer。下面的图1提供了那个过程的概述。图1。PayBitdex感染在最近的BitPaymer-IR事件中,Falcon Intelligence将最初的感染媒介与FlashPlayer插件和Chrome扫瞄器的虚假更新联系起来。这些虚假的更新是经过基本被破坏的合法网站提供的,并利用社会工程欺骗用户下载和运行恶意的可执行文件。这些虚假的更新活动也许是一种按安装付费的服务,INDRIK SPIDER不过用它来传递它的恶意软件,因为其他恶意软件也经过同样的活动交付。与PowerShell帝国的横向挪移在最初的妥协之后,Falcon Intelligence观看到Dridex loader和PowerShell Empire在受感染主机上运行。PowerShell帝国是一具为渗透测试而构建的后开辟代理,用于在主机之间横向挪移。在主机之间挪移时,PowerShell帝国代理作为名为Updater的服务运行,如图2所示。图2。PowerShell帝国作为服务运行在这次横向挪移中,猎鹰情报局还观看到PowerShell帝国在受害者网络的服务器上部署了Mimikatz模块。Mimikatz是一具后利用工具,用于从Windows主机猎取凭据。这些被破坏的凭证随后被用于进一步的横向挪移。关于PowerShell帝国迁移到的很多主机,它将下载并安装Dridex加载程序。横向挪移向来持续到检索到环境的域凭据,同时PowerShell帝国和Dridex加载程序都安装在环境中的域操纵器上。那个过程也许是基于主机受损的速度而自动举行的。虽然传统上用于加载欺诈活动的模块,但最近对Dridex loader的更新也允许它执行系统和网络侦察。这些侦察能力包括收集主机上当前用户的信息、列出本地网络上的计算机以及提取系统环境变量的能力。这些信息特别大概被用来关心识别受害者网络中感兴趣的目标。在某些事情下,Falcon Intelligence观看到在域操纵器受到破坏和安装BitPaymer之间有几天没有活动。这一延迟大概表明,运营商在决定怎么最好地将这一妥协获利之前,正在举行侦察并收集受害者的信息。经过PowerShell帝国和GPO部署勒索软件Falcon Intelligence观看到,一旦域操纵器被破坏,两种不同的想法用于部署BitPaymer。在一具例子中,惟独域操纵器和其他关键基础设施,如工资单服务器,而PowerShell帝国被用来下载和执行这些服务器上的BitPaymer恶意软件。在另一具例子中,BitPaymer恶意软件被下载到受害者网络的一具网络共享中,一具名为gpupdate.bat经过组策略对象(GPO)从域操纵器推送到网络上的所有主机。那个足本从共享中复制BitPaymer,并在网络中的每个主机上执行,加密了数千台机器。 大型狩猎者使用恰当的战术这种有针对性的部署想法包括凭证泄露、横向挪移和系统治理职员具的使用,与猎鹰智能从国家对手团体和渗透测试团队观看到的行为很相似。随着针对特定受害者的高价值支付,INDRIK SPIDER对手集团不再被迫扩大业务规模,如今有能力依照受害者的环境定制工具,并经过"动手键盘"活动在妥协中发挥更积极的作用。比特支付勒索软件虽然第一次公开报道使用BitPaymer是在2017年8月,当时该恶意软件与针对多家NHS医院的勒索软件攻击有关,但Twitter用户迈克尔·吉莱斯皮(Michael Gillespie)在2017年7月首次发觉。后来,在2018年1月,一份报告发布,确认了BitPaymer勒索软件和Dridex恶意软件之间的相似之处。报告作者将恶意软件改名为"FriedEx"。猎鹰智能公司分析了这一恶意软件,并确认了BitPaymer/FriedEx和Dridex恶意软件之间的重叠。由于勒索软件的针对性,BitPaymer是为每个操作定制的,其中嵌入了唯一的加密密钥、勒索便条和联系信息。由于这种定制,恶意软件有多个版本,虽然Falcon Intelligence基本确定了两个要紧变体:一具旧版本将加密过程拆分为多个"模式",每个模式都集中在特定任务上;另一具新版本是构建为作为服务运行的。BitPaymer又名"wp_encrypt"在分析过程中,Falcon Intelligence获得了勒索软件的内部版本,其中包含程序数据库(PDB)字符串S:\Work\\u bin\Release-Win32\wp_加密.pdb. 基于此字符串,恶意软件开辟人员将此勒索软件称为wp_encrypt。PDB字符串还包含前缀字符串S:\Work\,它与其他Dridex模块相同,包括表1中所示的模块。勒索软件还包含来自Dridex模块的代码,勒索软件的一些变体与Dridex加载程序共享高达69%的代码。模块名称讲明装载机下载并安装核心Dridex模块,包括workervnc公司提供远程桌面访咨询网络检查检查网络连接垃圾邮件发送者垃圾邮件模块工人负责银行木马功能的核心组件,包括键盘记录、网页注入、下载和执行第二时期有效负载等。trendmicro公司TrendMicro antivirus detection的白名单Dridex模块wp_解密比特支付解密工具表1。共享相同PDB路径前缀的Dridex模块反分析BitPaymer恶意软件的两个变种都采纳多种技术来妨碍分析。恶意软件开辟人员使用了加密字符串、字符串哈希和动态API解析的组合,以确保二进制文件中不存在字符串。加密字符串表BitPaymer恶意软件在二进制文件的rdata部分包含一具加密字符串的小表。这些字符串使用标准的RC4加密,其中前40个字节构成RC4密钥,其余数据包含加密字符串表。这些字符串在运行时按需暂时解密。解密字符串表中的字符串由空字节分隔,并按其顺序引用。此字符串表加密想法与其他Dridex恶意软件中使用的想法相同,包括40字节的密钥长度和表在rdata部分中的位置。字符串表包括勒索软件加密中使用的RSA公钥、勒索注释、文件扩展名和加密目标标志字符串。字符串哈希除了加密的字符串表之外,BitPaymer用散列替换二进制文件中剩余的字符串,DDoS高防,并使用一种算法将这些散列与主机上存在的字符串相匹配。例如,DDoS防御,在为持久性设置run键时

ddos清洗_高防初为_免费测试


DDoS防御

当前位置:主页 > 网站防护 > ddos清洗_高防初为_免费测试

标签列表
DDoS防御
网站分类
X
 

QQ客服

400-0797-119