服务器防ddos_上海高防服务器_免费测试

服务器防ddos_上海高防服务器_免费测试

韩国使用VPN连接攻击银行恶意软件

这不是我们第一次报告针对韩国银行客户的恶意软件。过去,我们写过关于香港免备案对韩国Windows用户的威胁的文章,去年我们发布了一系列博客文章,是针对Android的伪造韩国银行应用程序(第1部分、第2部分、第3部分),关于针对移动平台的恶意软件。

韩国银行恶意软件基于之前使用的相同原则。客户执行受感染的二进制文件,修改Windows主机文件。此文件包含具有指定IP地址的域列表。但是,恶意软件可能会修改此文件。当客户希望访问其在线银行网站时,他将被重定向到主机文件中指定的IP地址,而不是原始银行网站!

我们将在这篇博文中讨论的恶意软件执行上述对系统设置的修改。然而,快速防御ddos攻击,当我们查看修改后的主机文件时,我们注意到一些不寻常的情况。

如上图所示(主机文件截图),该恶意软件将韩国银行的许多网站重定向到IP地址10.0.0.7。如果您尝试在web浏览器中输入此地址,可能不会得到任何响应,因为这是专用IP地址。其他属于韩国搜索引擎的网站,如Naver,被重定向到可公开访问的IP地址。当访问受感染机器上的任何搜索引擎时,以下横幅显示在常规网站顶部。

图像显示:

您的电脑中是否有安全软件或程序,或者您是否有安全卡?由于黑客事件和潜在的用户信息泄露,如果你想使用网上银行,app如何防御cc,你需要执行识别程序。

我们发现了一个关于恶意软件行为的非常有趣的技术细节-它使用VPN连接!当一个用户点击下面银行的一个徽标时,他就连接到一个VPN,并显示假银行网站。首先,该恶意软件连接到C&C服务器,并通过69.30.240.106/index.txt上的GET请求获取配置。C&Cddos高防ip价格括一个指向修改主机文件和VPN服务器IP地址的可执行文件的链接。

900test.exevpn=204.12.226.98

可执行文件负责正确重写%windows%\system32\drivers\etc\host文件,在windows机器上查询DNS之前查询该文件以进行地址转换。例如,如果您想访问,系统首先访问主机文件,如果存在匹配项,它将使用该站点的指定IP地址(104.203.169.221),性价比高的全球高防cdn,该地址与原始DNS记录不同-我们的地理位置为202.131.30.12。

恶意软件针对访问以下银行网站的韩国银行客户:

、nongyup.com、banking.nongyup.com、,nonghyup.co.kr,banking.nonghyup.co.kr,,shinhanbank.com,shinhanbank.com,,如何配置ddos防御,shinhanbank.co.kr,banking.shinhank.com,banking.shinhan.com,banking.shinhank.co.kr,,hananbank.co.kr,hananbank.co.kr,,wooribank,抗ddos攻击防御系统,1.1.1-1.1-1.1-1.1-1-1-1-1-1-1-1-1-1-1-1-1-1-1-1-1-1-1-1-1-1-1-1-1-1-1-1-1-1-1-1-1.1-1-1-1-1-1-1-1-1-1-1-1-1-1-1-1-1-1-1-1-1-1-1-1-1-1-1-1-1-1-1-1-1-1-1-1-1-1-1-1-1-1-1-1-1-1-1-1-1-1-1-1-1-1-1-1-1-1-1-1-1-1-1-1-1-1-1-1-1-1-1-1-1-1-1-1-1-1-1-1 epostbank.co.kr,、epost.kr、、epostbank.kr

银行域名被转换为专用网络地址范围(10.0.0.7),搜索引擎被转换为运行IIS的Web服务器。Webserver运行中文版IIS,如提供不正确的标头信息时显示的错误消息所示。

但该恶意软件并非始终连接到VPN。该恶意软件搜索活动的Internet Explorer窗口,如果找到,根据Internet Explorer版本,它将定位浏览器的地址栏并提取当前输入的url地址。如果找到属于任何银行的URL,将建立VPN连接。

首先,恶意软件会删除一个文件%USERPROFILE%\profiles.pbk,其中包含基本配置。VPN的凭据(名称和密码)以二进制硬编码。通过Windows RAS API接口进行连接。

如果我们想在Windows中验证VPN连接,只需找到丢弃的PBK文件并双击即可。在属性中,我们将选择"提示输入名称和密码、证书等"。我们输入用户名和密码,这是我们以前从恶意二进制文件中提取的。按下"连接"按钮后,我们连接到VPN,如果主机文件被正确修改,我们可以访问假银行网站。按"挂断"后,我们可以断开与VPN的连接。

连接成功后,"ipconfig/all"命令列出与VPN的PPP连接,以及当前机器分配的专用IP地址。此时,受感染的机器连接到专用网络,可以访问托管在10.0.0.7上的内容。

当客户访问受感染机器上的nate、daum或naver时,会显示以下横幅。

单击银行徽标后,客户会看到以下修改过的网站(下面的例子是针对epostbank.kr的,但是这种攻击对其他银行的作用是相同的)。如果客户点击假银行网站上的任何链接,他会收到一条错误消息。消息说,额外的安全措施是可用的。单击确定后,假验证过程开始。要求客户填写一些个人详细信息。然后他被要求提供一个电话号码和他的安全卡上的号码。最后,他会看到一个下载恶意Android应用程序的链接。在写这篇博文时,指向恶意Android应用程序的链接不再有效。

原始滴管

1C22460BAFDDBFDC5521DC1838E2B0719E34F258C2860282C48DF1FBAF76E79

删除的DLL,C&C通信

FDF4CAA13129BCEF76B9E18D713C3829CF3E76F14FAE019C2C91810A84E2D878

主机文件修改器

1D1AE6340D9FAB3A93864B1A74D9980A8287423AAE47D086CA002EA0DFA4FD4

该分析由Jaromir Horejsi、David Fiser和Honza Zika共同完成。

热门推荐
  • cdn防御_苍云盾立技能介绍_怎么办

      这是网络研讨会第一部分的抄本,"真的AI能站起来吗?"您可以在线查看网络研讨会幻灯片或根据需要观看网络研讨会。开始......

    11-21    来源:长虹华伟

    分享
  • 云防护_高防服务器参数_解决方案

      风险是项目管理界和项目管理界的一个老话题,识别风险和制定战略是成功的愿景或失败的表象。全世界有成千上万的合规人......

    05-27    来源:长虹华伟

    分享
  • 香港ddos防御_剑三苍云挂机盾舞宏_无限

      商务电子邮件泄露(BEC)在鱼叉式网络钓鱼攻击总数中所占的比例相对较小,但它们却起到了很大的作用。根据美国联邦调查......

    03-16    来源:长虹华伟

    分享
  • 阿里云高防ip_服务器防御系统_如何解决

      QNB金融银行成立于1987年,总部位于伊斯坦布尔土耳其第五大银行。它提供核心银行服务公司、投资和中小型企业客户国家。......

    10-01    来源:长虹华伟

    分享
  • 国内高防cdn_高防是什么意思_3天试用

      很多人都喜欢Instagram,许多黑莓用户都渴望在他们的设备上使用Instagram官方操作。不幸的是,你目前无法通过黑莓世界商店来......

    03-22    来源:长虹华伟

    分享
  • 国内高防cdn_高防ip购买_如何解决

      我一直很喜欢训练教练的项目。即使你是一名出色的计算机安全顾问和培训师,但你,一个人或一个团队,所能做的也是有限......

    10-27    来源:长虹华伟

    分享
  • ddos防护_扬州高防服务器_优惠券

      中央存储库和Maven的依赖关系。他们可能不会像大多数人那样,在大量的技术和工具中挖掘细节。除了开发环境中涉及的各种......

    11-21    来源:长虹华伟

    分享
  • 防cc攻击_ddos防攻击流量ip_怎么防

      安全团队知道IAM有多重要,但这并不意味着很容易从高级管理层那里获得支持,尤其是当IAM解决方案通常带有六位数(或更多......

    09-04    来源:长虹华伟

    分享
  • 服务器防御_服务器防护用什么设备_精准

      你可以破解烤面包机,电视和汽车…但主机呢?不是所有的东西都在Windows和Linux上吗?谁还在使用大型机(特别是运行Z/OS的......

    04-12    来源:长虹华伟

    分享
  • 香港ddos防御_美国高防服务器排行榜_3天试

      2016年8月15日,印度赛博妈妈很久以前,我看了一部电影,主人公在经历了一段痛苦的经历后回到家里,却发现一个冒名顶替......

    11-21    来源:长虹华伟

    分享
返回列表
Ctrl+D 将本页面保存为书签,全面了解最新资讯,方便快捷。