免备案高防cdn_ddos攻击如何防御_精准

免备案高防cdn_ddos攻击如何防御_精准

Netskope威胁研究实验室一直在跟踪2019年4月开始的多起类似的恶意垃圾邮件活动。垃圾邮件活动包含一个ISO映像文件,作为包含下一级有效负载的附件。这篇博客文章详细介绍了这次活动和有效载荷。恶意垃圾邮件活动malspam活动始于2019年4月,一条关于发票和ISO磁盘映像文件附件的通用消息。通用消息表明垃圾邮件活动不是针对任何特定的个人或企业的。下面的图1显示了一个包含ISO文件作为附件的恶意垃圾邮件电子邮件的快照示例。图1:包含ISO文件作为附件的Malspam。当我们的爆发检测系统提醒我们一种不寻常的文件类型出现在多个检测中时,我们首先注意到了这些恶意垃圾邮件活动——ISO磁盘图像格式。这些样本是由于它们所含的LokiBot和NanoCore样本而被检测出来的。到目前为止,我们已经发现了这项活动的10个变体,使用了不同的ISO图像和电子邮件。针对这种不常见的文件格式为恶意软件作者提供了一个优势,因为ISO文件通常是通过扫描在各种电子邮件安全解决方案中白名单来提高效率的。而且,现在主要的操作系统都有默认的软件,一旦用户点击它,它就会自动检测并挂载它。这再次使它成为骗子的首选目标。观察到的ISO文件大小在1MB到2MB之间,这对于图像文件来说是一个不寻常的文件大小;通常,它们的大小在100MB以上。映像只包含一个嵌入其中的可执行文件,这是实际的恶意软件负载。类似的垃圾邮件活动在过去也有报道,键盘记录者和其他窃取信息的有效载荷被扔到受感染的机器上。在我们的分析中遇到的案例主要与LokiBot和NanoCore远程管理工具有关。Netskope的高级威胁保护套装将这些文件检测为特洛伊木马.GenericKD.41227940和特洛伊木马.GenericKD.40782328。有效载荷分析洛基博特在各种垃圾邮件活动中,使用LokiBot作为传递有效载荷的趋势越来越大,最近的一次就是在这里报道的。目前版本的乐麒与其之前的版本相似,只是在机器人中实现的反倒车技术稍作修改。在本例中,分析的示例使用IsDebuggerPresent()函数确定它是否加载在调试器中。它还实现了一种常见的反虚拟机技术,ddos防御平台,测量CloseHandle()和GetProcessHeap()之间的计算时间差,以检测它是否在虚拟机中运行(如果是虚拟机,时间差会很大)。图2显示了在反汇编代码中的外观。图2:LokiBot中实现的反调试器检查一旦反反转代码被修补,cc防御专家,恶意软件示例将其解压到内存中,如图3所示。解包的二进制文件是一个用visualbasic编码的可执行程序。图3:包含未打包二进制代码的内存部分一旦恶意软件感染系统,它将执行以下操作:查询系统GUID信息执行进程清空并启动子进程处理。删除父进程,使子进程处于孤立状态并处于运行状态。一旦感染过程完成,样本就会启动其窃取功能,ddos防御5gbs是什么意思,该功能能够:探测超过25种不同的网络浏览器来窃取不同的浏览信息。检查上运行的web或电子邮件服务器机器。定位15种不同电子邮件和文件传输的凭证客户。检查提供流行的远程管理工具,ddos攻击手段防御,如SSH、VNC和RDP。下面的图4描述了我们的高级启发式分析引擎捕获的恶意软件行为的摘要。图4:Netskope的高级启发式分析捕获的恶意软件行为。纳米核鼠我们之前曾在一个完全不同的活动中发表过关于NanoCore RAT的博客,在这个活动中,云存储服务被用来托管恶意的PDF文档,丢弃了这种RAT的一个变种。Netskope的高级威胁防护服检测到这些文件特洛伊木马.GenericKD.40782328。与我们之前的分析一样,这个版本的NanoCore也是使用AutoIT作为主.NET编译的二进制文件的顶层包装器构建的。图5:恶意软件示例中标识的AutoIT代码部分反编译的AutoIT脚本被严重混淆,并构造了NanoCore RAT的实际.NET二进制文件,如下面的图6所示。图6:构造实际二进制有效负载的AutoIT函数实际的二进制文件通过执行以下操作开始感染系统:尝试检测调试器的存在。创建互斥体并执行进程注射。创造通过注册表修改实现持久性。一旦恶意软件占领了机器,它就会开始捕获以下信息:捕获剪贴板数据并监视按键。收集有关上的文档文件的信息系统连接到FTP服务器从系统上传被盗数据。下面的图7显示了Netskope的云沙箱捕获的远程管理工具的详细分析。它还显示了流程执行图,描述了与样本相关联的各种流程的创建和流程。图7:NanoCore RAT在Netskope的云沙箱中的分析结论恶意垃圾邮件活动继续混合和匹配各种新的和旧的技术,以保持相关性。选择一个图像文件作为附件表明他们打算击败电子邮件过滤器和扫描器,ddos云防御发展历程,这些过滤器和扫描器通常会将此类文件类型列入白名单。使用商用恶意软件的有效载荷表明,尽管执法部门对制造这些工具的个人进行了打击,但这些工具的使用并没有减缓。

热门推荐
  • ddos防御工具_腾讯云服务器安全防护_免费

      在Navigate'16欧洲大会上,我们有机会听取了获奖的安全专家Mikko Hypponen关于"敌人的身份"的演讲。Hypponen是F-Secure的首席研究官......

    09-30    来源:长虹华伟

    分享
  • 阿里云高防ip_ddos防御多少钱_如何防

      这个标题真正应该说的是"频繁的手动密码轮换的利弊"。说实话,我想不出任何人都应该频繁地进行手动密码轮换的好理由。......

    10-01    来源:长虹华伟

    分享
  • 游戏盾_国内高防bgp服务器_怎么防

      很少有人会反驳有效的身份管理对有效的安全至关重要。今天尤其如此。今天,所有的组织都有新的数字资产定期上线:新的......

    10-01    来源:长虹华伟

    分享
  • 服务器安全防护_防ddos服务_如何防

      在拉斯维加斯紧随Gartner IAM之后,本次展会的一个主要主题是软件机器人。我们花了一些时间在展厅里对IT领导者进行了调查......

    10-01    来源:长虹华伟

    分享
  • DDOS高防服务_装修防护网_3天试用

      在当今的环境中,如果不将人与恶意软件本身分开,就很难将恶意行为体与有效用户区分开来。《错误身份》的大卫·李和迈......

    10-01    来源:长虹华伟

    分享
  • ddos高防_防ddos流量攻击_解决方案

      今天是欧盟通用数据保护条例(GDPR)颁布一周年。欧洲的数据隐私法规对过去20年来最严厉的一些消费者保护法进行了处罚,......

    10-02    来源:长虹华伟

    分享
  • ddos防御攻击_服务器高防哪家便宜_如何防

      我认为可以肯定地说,时不时地,我们都渴望一个"简单"的时代。这是一个概念,我们可以很容易地应用到我们个人生活的各......

    10-02    来源:长虹华伟

    分享
  • 网站安全防护_防血糖高的食物有哪些_零

      今天,帆船点自豪地宣布两个麻省理工学院的发布许可的、开源的sdk,实现了当前的FastFed规范。在这篇博文中实施者的草案......

    10-26    来源:长虹华伟

    分享
  • cc防护_网站防御软件_免费测试

      如果你听新闻报道的熔毁和幽灵,你会毫不怀疑这些问题必须立即解决。根据大多数报告,熔毁和幽灵的弱点动摇了每个人对......

    10-26    来源:长虹华伟

    分享
  • 香港高防_高防服务器哪家好_如何解决

      我们听说似乎每天都有重大违规行为发生,而实际上,每分钟都有新的违规行为发生,但这一切到底值多少钱?你对一个黑客......

    10-27    来源:长虹华伟

    分享
返回列表
Ctrl+D 将本页面保存为书签,全面了解最新资讯,方便快捷。