服务器安全防护_盾之勇者成名录游戏_原理

服务器安全防护_盾之勇者成名录游戏_原理

作者:安德鲁·布兰特现在,联邦调查局在一份起诉书(以及非常花哨的通缉海报)中确认了山姆勒索软件背后的威胁因素,他们在攻击中开创了一个非常具体的剧本,引发了一系列的跟风。7月份,我们发表了一份关于SamSam TTP的详细报告,如果您感兴趣,可以查看一下。这里有一个快速的解释他们的战术,技术和程序,以及一些简单的对策,你可以制定今天。SamSam使用的攻击程序摘要SamSam袭击者从监视受害者开始。他们想知道受害者是否有足够的财力支付赎金,随着时间的推移,随着比特币汇率的波动,赎金平均达到3万美元左右。SamSam目标收购事实上,监视可能使用了许多免费的工具,但主要动机似乎是(1)受害者是否在"英语世界"(英语世界,但主要在美国)和(2)有钱,就这样。一些勒索软件攻击者似乎避免了攻击学校或医院,但萨姆姆没有。SamSam在攻击的入侵阶段使用的工具攻击者依靠"低垂的果实"打入网络。大多数攻击都是由攻击者通过防火墙上的一个漏洞强行为具有远程桌面协议(RDP)的Windows计算机强制输入密码开始的。如果您的防火墙中有打开的端口让RDP从internet通过,并且它不在VPN后面,请现在关闭这些端口。不管Windows密码有多强。保持开放是不值得冒险的。早期的一些攻击是从针对应用程序服务JBOSS(现在称为Wildfly)中的漏洞进行攻击开始的。攻击者使用一种公开可用的灰色帽子黑客工具JexBoss。此类攻击的IoC是文件jbossass.war(MD5:CBDEAF83F58A64B09DF58B94063E0146)。这种方法很快就不再受欢迎,而不是使用RDP。SamSam使用传统的系统管理和一些灰色帽子黑客工具一旦SamSam攻击者在网络中站稳脚跟,他们就会使用各种灰色帽子和系统管理员工具来提升自己的权限。目标:获取域管理员凭据,通常通过使用Mimikatz嗅探它们。目标是控制域控制器一旦他们有了域管理员密码,SamSam攻击者就控制了域控制器。他们利用DC将勒索软件分发到网络上的每台机器上,但他们并没有立即执行。在部署之前,他们首先进行了测试,以确保DC对其辖区内的机器具有写权限。SamSam使用免费的Microsoft Sysinternals工具PsExec推送安装利用微软的免费工具PsExec,攻击者一次将勒索软件推到他们能从DC接触到的每台机器上。他们一直等到深夜、周末或节假日才发动攻击,这时最不可能有人注意到这一点,否则就太晚了。在端点安全产品阻止恶意软件运行的情况下,他们自学如何使用企业用来管理安全产品的管理员控制台,安逸cc攻击防御软件,并且会有选择地使用(你猜中了)被盗的管理员凭据禁用安全产品。对于所有非常敏感的用户,必须至少使用两个身份验证级别的用户和管理员。PsExec命令启动了一个批处理文件并需要密码,这使得分析更加困难为了让安全专家更难分析这些恶意软件,他们构建了每个受害组织特有的样本,并使用批处理文件执行,该批处理文件用每次攻击时更改的密码对有效载荷进行解密。恶意软件总是删除自己的安装程序任何其他痕迹作为最后一步。从早期开始,获取与攻击相关的文件副本一直是一项挑战,但这并非不可能。SamSam攻击者在两年内多次改进加密过程SamSam勒索软件也突破了效率的极限。它首先加密了最重要的文件,然后加密了其他对保持机器运行不重要的文件。结果比传统勒索软件更严重。例如,ddos大流量攻击防御,您不能仅仅从备份中恢复数据文件以进行备份和运行,因为您的所有应用程序都是不可访问的。在恢复数据文件之前,您需要先重新映像磁盘并恢复所有应用程序。这纯粹是一种邪恶的行为,事实上保证了在整个网络规模内,数据在一段合理的时间内是不可恢复的。如果在一台机器上重建磁盘映像需要30分钟,而从脱机备份中恢复数据需要15分钟,那么在100台机器上执行同样的操作需要多长时间?在1000台机器上怎么样?对于一个规模庞大的全球性组织,你能迅速做到这一点而不致遭受重大损失吗?如果你不仅仅是一个游戏网络,生活真的悬在天平上呢?面对可能会持续数周的停工期和艰苦的恢复,以及随之而来的生产力损失,那么多受害者选择付钱给SamSam攻击者就不足为奇了。对许多人来说,类似奇安信的高防cdn,这是一个组织生存的问题,尽管这是一个代价高昂的教训。SamSam一次只攻击少数组织,但成功率很高每个受害者在黑暗的网络上都有一个独特的洋葱地址。在另一端,有一种聊天系统,目前无法防御的ddos类型,受害者直接与SamSam攻击者交互。SamSam的攻击者通过定制的黑暗网络聊天页面与受害者交流受害者付钱后这些东西就消失了。只有少数截图存在。一名受害者与我们分享了这一点,他与我们一起对袭击进行了回顾性调查。我们追踪了比特币支付给少数钱包的情况。加密货币随后被"大跌"以混淆其来源和目的地。攻击者通过"不倒翁"服务清洗他们的比特币我们将其中许多追溯到它们的起源,并发现了一些相当有趣的东西虽然包括亚特兰大市在内的许多受害者公开承认他们是山姆的目标,但超过一半的付费受害者根本没有发表任何公开声明。超过半数的萨姆受害者从未就这次袭击发表公开声明所有这些"沉默的受害者"都是大企业。同样清楚的是,一旦你将受害者组织的位置关联起来,SamSam攻击者的目标主要是一个国家。2016年1月至2018年7月的数据,100m宽带防御多少ddos,包括"沉默的受害者"现在我们知道了袭击者是谁,动机似乎很明显。联邦调查局确认并起诉桑萨姆恐怖分子的消息让我们很高兴,但这并不意味着案件已经结案。事实上,远没有。没有人被捕,还有很多悬而未决的事情。更糟糕的是,其他几个威胁集团也开始采用这种手法,并模仿SamSam技术来传播勒索软件。目标仍然是白手套攻击。所以,我们都有很多工作要做。这场战斗才进入下一阶段。关闭那些RDP端口!修补你的旧盒子!对网络进行分段,这样就无法从一个点访问所有内容。至少,选择你的低挂水果和一些水果沙拉!我们将在SophosLabs的博客中报道目标勒索软件的兴起及其后果。加入我们的行列,与这个灾祸作斗争!

热门推荐
  • 服务器防护_ddos防御设备_怎么办

      你的电子邮件是网络威胁的目标吗?找到并赢取VIP门票,参观巴黎云博览会的绿色日在巴黎举办的欧洲云博览会是一个探索行......

    03-18    来源:长虹华伟

    分享
  • 服务器安全防护_高防ip服务器_超稳定

      网络钓鱼者正在发送攻击电子邮件,利用重新安排的商务会议作为诱饵,危害高级管理人员的商务电子邮件帐户。 云安全平......

    06-11    来源:长虹华伟

    分享
  • 免备案高防cdn_ddos防护软件技术参数_怎么

      对于信息安全人员来说,利用漏洞有点像是一个棘手的问题。一方面,通过保持系统的最新性,您可以基本上保证端点安全性......

    11-24    来源:长虹华伟

    分享
  • ddos防御攻击_高防服务器租用_怎么防

      2012年3月——Radware公司ERT最繁忙的一个月作业停电状态:如果你在周末读到媒体,你会被引导相信阿农的虚拟军队的大部分要......

    04-18    来源:长虹华伟

    分享
  • ddos清洗_防cc攻击设置多少秒_优惠券

      5月6日下午,联邦政府明确表示,现在是联邦政府进行开发的时候了。超过500名来自公共部门的观众在网上联合起来,与5名政......

    11-24    来源:长虹华伟

    分享
  • 海外高防_服务器靠什么防御_秒解封

      ATT*和亚马逊网络服务公司(Amazon Web Services,Inc.)正在推出几种创新的物联网(IoT)解决方案,让企业在数据驱动的世界中更......

    03-12    来源:长虹华伟

    分享
  • 网站防御_TCP高防_原理

      最新的网络攻击、数据泄露、威胁或漏洞不乏头条新闻。尽管某些行业可能比其他行业更容易成为攻击目标,但从公用事业、......

    04-19    来源:长虹华伟

    分享
  • 服务器防御_cc攻击防御策略ng_怎么防

      作者:Greg Coxvar应用洞察力=窗口.appInsights||function(config){function t(config){i[config]=function(){var t=参数;i。队列.推送(f......

    10-09    来源:长虹华伟

    分享
  • 防ddos_ddos攻击怎么防_超稳定

      更新2:CVE-2015-0313的补丁发布已经开始。首先是adobeflash自动更新程序,然后是可下载的软件包加上Chrome和即更新:最新Adobe F......

    03-24    来源:长虹华伟

    分享
  • cc防护_韩国高防vps_如何解决

      从私有云环境到混合云环境的快速迁移带来了无数的商业利益。其中最令人兴奋的是预测分析、灾难恢复和以尽可能低的成本......

    08-03    来源:长虹华伟

    分享
返回列表
Ctrl+D 将本页面保存为书签,全面了解最新资讯,方便快捷。