网站安全防护_云盾cdn_方法

网站安全防护_云盾cdn_方法

作者:Jagadeesh ChandraiahSophosLabs发现了一个移动恶意软件分发活动,该活动使用广告投放来分发红色警报特洛伊木马程序,将知名应用程序的假冒品牌与提供该银行凭证窃贼更新版本2.0的网页相关联。分发这一系列恶意软件的组织将其装饰在知名社交媒体或媒体播放器应用程序、系统更新补丁程序或(在其最近的活动中)VPN客户端应用程序的品牌和徽标中,试图引诱用户下载、安装和提升托管在非附属网站上的木马应用程序的特权任何有信誉的应用程序市场或商店。除了将降低安全性的特洛伊木马伪装成表面上增强安全性的应用程序这一不可避免的讽刺,以及如此变相的木马所激发的VPN用途的整个概念的正义冒犯,cdn防御ddos效果,这代表着这场变相的银行机器人活动针对的应用程序类型的升级。红色警报扮演装扮 在野外,我们发现网页被设计成(模糊地)类似于合法的应用程序市场页面,托管的文件被伪装成具有适度广泛吸引力的合法移动应用程序,ddos防御结果,如媒体播放器或社交媒体应用程序。但随着VPN软件的加入,这个群体所针对的类别似乎正在扩大。左侧显示的网页位于一个似乎合适的域上:free vpn[.]下载。对该域的调查导致其他域似乎已注册用于该活动,但尚未使用。(您可以在本文末尾找到其他IOC)正如你所看到的,这个网页使用了与googleplay商店上的合法VPN应用程序(VPN代理主机)相似的颜色方案和图标设计。这个赝品并不能完全确定应用程序的名称。除了"免费VPN Master Android"之外,我们还观察到Red Alert 2.0特洛伊木马在野外使用以下名称伪装自己:Flash Player或更新Flash PlayerAndroid更新或Android防病毒Chrome更新或Google更新更新Google MarketWhatsApp维伯OneCoin钱包色情中心战术手电筒还是荧光灯金融在线绝大多数在狂野的红色警报2.0示例中都错误地将自己描述为adobeflashplayer for Android,dz防御cc,这是Adobe多年前停止支持的一个实用程序。我们的日志显示了许多同时运行的redalert2.0活动,很多(但不是全部)托管在动态DNS域上。红色警报有效载荷一旦安装,恶意软件请求设备管理员权限。如果恶意软件获得设备管理员权限,它将能够自行锁定屏幕,使密码过期,并通过正常方法抵制卸载。然后,该应用程序会留在后台,听来自网络骗子的命令。在第一个命令中,bot通常会收到目标银行的列表。特洛伊木马程序的工作原理是在用户启动银行应用程序时创建一个覆盖层。当前运行的应用程序依赖覆盖机制窃取信息的银行特洛伊木马需要知道前景中有什么应用程序。他们这样做不仅是为了确定使用某个特定的应用程序是否允许他们获取另一个凭证,还因为每个目标应用程序都需要有一个映射到其设计的覆盖层,美国ddos防御主机,这样特洛伊木马就可以拦截和窃取用户数据。确定当前正在运行的应用程序是重叠恶意软件的一个特征,所以我们想我们应该仔细看看它是如何完成的。为了防止这种情况的发生,Android的工程师们定期发布更新,其中包含错误修复程序,旨在防止应用程序在未经明确许可的情况下获取当前正在运行的应用程序的列表。每次安卓系统更新,恶意软件作者都会被迫想出新的伎俩。这一特殊情况并非例外。该恶意软件的作者编写了独立的子例程,这些子程序标识操作系统版本并触发方法,以获取当前运行的应用程序的列表,这些应用程序在特定版本的Android上运行。首先,他们使用内置的工具箱命令来确定运行的应用程序。如果不起作用,他们会尝试使用queryUsageStats:当恶意软件调用queryUsageStats时,它会请求在过去100万毫秒(16分40秒)内运行的应用程序的列表。用于存储应用程序数据的字符串资源红色警报2.0将其数据存储在一个非典型位置(在字符串.xml获取关键数据,如C2地址。这个com.dsufabunfzs.dowiflubs上面截图中的字符串指的是这个特定恶意软件的内部名称,在本例中,它被随机放入字母表沙拉中。SophosLabs的观察表明,Red Alert特洛伊木马通常有这样一个随机的内部名称。应用程序的字符串部分包含嵌入的命令和控制IP地址、端口和纯文本域名。这是一个关于特定竞选活动的宝贵情报来源。。以下代码段显示特洛伊木马程序中使用SQLite数据库命令存储和调用命令和控件地址的位置:后门命令红色警报代码还包含botmaster可以发送给bot的命令的嵌入列表。该恶意软件可以执行各种任意命令,包括(例如)在用户不知情的情况下截获或发送短信、获取受害者通讯录的副本、或通话或短信日志、或发送电话网络功能代码(也称为USSD代码)。C2和目标银行如前所述,路由器ddos攻击防御,C2域保存在应用程序的资源中。在应用程序执行期间,恶意软件联系C2域以获取进一步的指示。我们观察到的大多数网络流量是HTTP。C2地址存储在我们看到的示例中,包含IP地址和端口号;到目前为止,我们测试的所有示例都试图联系端口7878/tcp上的IP地址。如果主C2域没有响应,bot将从Twitter帐户获取备份C2域。对代码的静态分析显示,恶意软件下载覆盖模板以用于针对其目标的任何银行。该恶意软件还以HTTP POST的形式向其C2服务器发送有关受感染设备的常规遥测数据。它使用基本的Dalvik用户代理字符串作为运行它的设备。httppost数据的内容是关于运行恶意软件的设备的json格式的遥测数据。Red Alert 2.0针对的银行名单包括NatWest、Barclays、Westpac和Citibank。redalert2.0是一个银行机器人,目前在网上非常活跃,给Android设备带来了风险。我们预计随着时间的推移,这个威胁集团使用的社会工程诱饵会更加多样化。到目前为止,合法的应用程序商店似乎是这个恶意软件的致命弱点;禁用第三方应用程序的安装是一项有效的预防措施。坚持使用googleplay,使用知名厂商的VPN软件。Sophos将此特洛伊木马系列的所有样本检测为Andr/Banker GWC和Andr/Spybot-A。在野外,这些只能通过非官方网页("第三方"应用程序)直接下载而不是通过合法的应用程序商店发布。红色警报2.0 IoCs列表C2地址103.239.30.126:7878146.185.241.29:7878146.185.241.42:7878185.126.200.3:7878185.126.200.12:7878185.126.200.15:7878185.126.200.18:787828.78点15分185.243.243.241:7878185.243.243.244:7878185.243.243.245:7878 域167.99.176.61上的恶意软件源Web主机:免费-Android日期VPN免费-androidvpn.下载免费-androidvpn.online免费-vpn.日期免费-vpn.下载免费-在线.vpn散列22FCE096392F085218C3A78DD0FA4E67ED725BCE42B965A27725F671CF55292a4dde8727faad1c40c914cf1be9dfdcf4e67b515aa593bcd8d86e824372be92a751e5abbcd24151b509dbb4feb98ea46f367a99d6f86ed4a7c162461e315C4D666CEF84ABC2A1FFD3B1060EF28FA3C6C3BB4FAD1FA26DB99350B41BEA406081ab7faa729e33b9397a0e47548e75cbec3d43c50e6368e81d737552150a5753999CB19A4346042F973E30CF1158C44F2335AB65859D3BFA16BC4098E2EF深入学习深入网络安全观看视频关于作者Jagadeesh Chandraiah是SophosLabs的九年老手,专门从事Windows和移动恶意软件分析。Jagadeesh定期在国际安全会议上发表他的研究成果,如DeepSec、AVAR、CARO和Virus Bulletin。工作之余,贾加迪什喜欢打羽毛球。

热门推荐
  • 防cc攻击_福州高防_

      你准备好接受一些好消息了吗?还记得几个月前我们宣布在微软的windowsazure平台上提供梭子鱼Web应用防火墙吗?这是我们在......

    03-18    来源:长虹华伟

    分享
  • 防ddos_国内高防bgp服务器_快速解决

      从垃圾邮件陷阱中,当前从Gmail地址发送:总部地址:ABUBAKAR TAFAWA BALEWA路33号地块。中央商务区,地籍区,阿布贾,联邦首都......

    03-22    来源:长虹华伟

    分享
  • 美国高防_防cc策略_怎么办

      您的网站和应用程序是否只受密码保护?今天,我们宣布登录保护,这是Incapsula安全功能的最新增加。登录保护允许在任何网......

    03-16    来源:长虹华伟

    分享
  • ddos防攻击_服务器高防ip_限时优惠

      密码自古以来就在我们身边。古罗马军事卫兵被称为"看门语",他们会从一个班到下一个班传递一个每天刻有秘密单词的木版......

    10-11    来源:长虹华伟

    分享
  • 香港高防服务器_香港高防服务器价格_快

      本系列博客探讨了在不危及企业数据的情况下启用非托管设备的挑战。阅读第1部分了解如何启用不在公司网络上的端点。此......

    01-18    来源:长虹华伟

    分享
  • 服务器安全防护_神盾局特工第五季百度云

      到2018年年中,在欧洲开展业务的全球组织将需要遵守一项新的数据安全法规,即通用数据保护法规(GDPR)。鉴于最近备受关......

    01-20    来源:长虹华伟

    分享
  • cdn防御cc_服务器cc防御_指南

      移动设备管理("MDM")是一种用于在移动设备上执行特权命令的基础设施协议。换句话说,MDM是一种基础设施技术,它使管理......

    04-30    来源:长虹华伟

    分享
  • 海外高防ip_抗ddos服务_如何解决

      大约一年前,布谷鸟沙盒被授予第一轮赞助的优胜者之一。从那时起,项目进展迅速,发展迅速:当我们开始这个程序的时候......

    03-01    来源:长虹华伟

    分享
  • cdn防御_宁波高防服务器_打不死

      在部署统一通信(UC)解决方案时,遇到一家还没有采用移动优先理念的公司,我总是有点惊讶。移动意味着什么?我们都知......

    08-22    来源:长虹华伟

    分享
  • 服务器防ddos_华云盾_精准

      Imperva的Tomer Biton检查了一个新的大规模脚本注入攻击目标ASPASP.NET网站。和往常一样,这是一个主要的技术解剖。首先,通过......

    03-16    来源:长虹华伟

    分享
返回列表
Ctrl+D 将本页面保存为书签,全面了解最新资讯,方便快捷。