防ddos_防cc盾_免费测试

防ddos_防cc盾_免费测试

去年,Netskope威胁研究实验室发现了Hackshit网络钓鱼服务(PhaaS)平台,该平台通过亚马逊S3上的websocket服务记录受害者的凭证。最终,在向所有实体报告攻击元素后,服务被停止。现在,快进到2018年,ddos防御开发,在研究最新的钓鱼诱饵和趋势的同时,我们观察到,Hackshit网络钓鱼作为服务(PhaaS)平台的死灰复燃,局域网内有ddos攻击防御,重复使用了之前报道的相同攻击元素。我们发现了一些策略、技术和过程(TTP),如用于开发、部署和运行代码的平台即服务(PaaS)应用程序,ddos防御洪水信息,以及用于传播来自安全网站的钓鱼诱饵的文件共享平台。netskopeforweb可以通过创建自定义应用程序和一个阻止与Hackshit phaa相关的所有活动的策略来主动保护客户不受凭证盗窃的影响。Hackshit PhaaS允许用户使用base64编码安全(HTTPS)钓鱼诱饵或使用带有嵌入链接的诱饵PDF文档,通过WebSockets记录受害者的凭证。最初,所有的钓鱼诱饵都是从安全(HTTPS)网站交付的,这些网站的顶级域名是"moe"顶级域名(TLD)。随后,我们观察到了几个来自顶级域(TLD)的安全(HTTPS)网站的钓鱼诱饵,即"moe"、"tn"、"cat"、"wtf"和"space"。我们观察到的钓鱼诱饵不是用base64编码的。它们被伪装并设计成模仿微软、谷歌文档、Dropbox和DocuSign等流行服务的登录页面来获取用户凭证。钓鱼诱饵分析在上面提到的钓鱼诱饵中输入的凭据通过WebSocket发送到URL的https://pod[.]logshit[.]通信https://pod-1[.]logshit[.]com和https://hspod-1[.]eu-1[.]evennode.com网站. 这些WebSocket服务作为一个名为Evennode的服务在一个平台上托管和部署。所有URL都解析为IP地址52.18.91[.]8。在分析时,IP注册到Amazon S3并解析为ec2-52-18-91-8.eu-west-1.compute[.]亚马逊网站我们观察到的钓鱼诱饵如图1所示。

图1:Hackshit钓鱼诱饵这些攻击元素重用了我们在发现Hackshit时报告的相同url。通过WebSockets上传受害者证件的过滤程序被附加在页面的末尾。图2显示了其中一个钓鱼诱饵的摘录。

图2:凭证通过WebSocket发送给攻击者投递钓鱼诱饵钓鱼诱饵是从安全(HTTPS)网站交付的,这些网站有新的顶级域名(TLD),即moe、tn、cat、wtf、space。提供与Hackshit相关的钓鱼诱饵的网站列表如下: https://a.pomf[.]cat/pwigae[.]htmlhttps://a[.]pomf[.]cat/sellha[.]htmlhttps://a[.]pomf[.]cat/tolgpg[.]htmlhttps://u[.]trs[.]tn/cssmlf[.]htmlhttps://a[.]doko[.]moe/mzxkup[.]htmlhttps://a[.]doko[.]moe/tpulcx[.]html[.]doko[.]moe/bmhnvq[.]htmlhttps://w[.]wew[.]wtf/xistho[.]htmlhttps://a[.]pomf[.]空格/jehdgewzbpvu[.]html 所有的网站都有一个由LetsEncrypt或Comodo颁发的SSL服务器证书。大多数网站的标题是"Kawaii文件托管"和"Pomf文件托管"。在进一步的研究中,我们发现这些网站是通过一个名为Pomf的文件上传和共享平台构建的克隆体。Pomf文件上传共享平台根据archiveteam.org网站网站,pomf.se公司是一个位于瑞典的网站,提供文件共享、粘贴和torrent跟踪服务。该网站于2015年6月8日停止使用。该网站现在包含github中托管的源代码的详细信息、临时托管以及google电子表格中已知克隆的列表,如图3所示。

图3:pomf.se公司网站pomf的推荐配置包括NGiNX、MariaDB、php7.0和LetsEncrypt。在谷歌搜索关键字"Kawaii File Hosting"和"Pomf File Hosting"后,我们发现了几个Pomf克隆体的存在,这些克隆体具有不同的tld集。我们还发现了几个谷歌结果报告恶意软件从这些克隆。这就引出了一个问题:为什么威胁参与者使用这些服务来传递恶意软件。Pomf克隆对于威胁参与者调用有效载荷并保持在雷达监视之下非常有用,比如一键上传,无需注册使用随机链接生成器直接下载上载文件的链接支持SSL(Letsencrypt,Comodo)我们观察到的所有网站都没有收集或记录任何用户数据pomf克隆的使用已经在多个攻击性论坛中被广泛讨论,用于托管和传递恶意软件。大多数网站也没有被搜索引擎索引,从而确保了恶意软件的顺利传递。如图4所示,我们观察到的一篇题为"定向传播"的文章详细介绍了pomf.猫用于托管恶意软件。

图4:定向传播使用pomf.猫垃圾服务有趣的是,ddos防御原理,Hackshit的所有服务都继续要求其产品和服务的平稳过渡。Hackshit[.]com解析到IP地址54.210.226[.]81。在分析时,IP注册到Amazon S3并解析为ec2-54-210-226-81.compute-1.amazonaws[.]com。Hackshit[.]com现在有了Comodo颁发的SSL服务器证书,如图5所示。

签发人:图5Hackshit服务从Evennode PaaS到Now PaaS的转换Netskope威胁研究实验室向亚马逊报告了使用Amazon S3的攻击元素,f5负载均衡防御cc攻击,亚马逊随后停止了这些服务。在短暂的一段时间后,早期通过名为"Evennode"的平台即服务(PaaS)托管的WebSocket攻击元素被转移到另一个名为"Evennode"的PaaS上现在。嘘’. Hackshit网站还获得了来自LetsEncrypt的SSL证书。图6显示了一个使用新服务的钓鱼诱饵的摘录。

图6:Hackshit WebSocket攻击元素托管在现在。嘘URL解析为IP地址13.57.138[.]242。在分析时,IP注册到Amazon S3,并解析为ec2-13-57-138-242.us-west-1.compute[.]亚马逊网站平台即服务我们参观了现在。嘘,以了解文档。根据网站的说法,Now是一个允许承载JavaScript的服务(节点.js)或者Docker提供的网站、应用程序和服务都可以轻松、快速、可靠地接入云端。我们观察到的一些有趣的特性是"无限"和"在云中查看源代码"无限的Unlimited是一个特性,它在每次运行应用程序时都获得一个新的URL,表示应用程序的当前状态,如图7所示。

热门推荐
  • 服务器防护_香港高防服务器托管_精准

      如果您正在努力为您的内部和外部用户管理对web、云和移动应用程序的方便访问,同时维护法规遵从性和安全访问数据,您一......

    08-31    来源:长虹华伟

    分享
  • 阿里云高防ip_傲盾DDoS防火墙_3天试用

      像数据泄露和加密这样的网络安全话题每天都在头条新闻上出现,所以密码安全成为主流新闻的热门话题也就不足为奇了。最......

    09-15    来源:长虹华伟

    分享
  • cc攻击防御_cc防护策略_怎么防

      在接下来的几周里,我们将推出一个关于帆船点2017年度合作伙伴获奖者的博客系列。我们的合作伙伴为客户提供价值,并帮......

    09-28    来源:长虹华伟

    分享
  • 服务器防御_域名接入防ddos_

      在我参加各种分组会议、主题演讲以及与Navigate 17位与会者交谈时,如果我明白了什么,那就是身份管理——正确地完成身份......

    09-30    来源:长虹华伟

    分享
  • 防cc_怎么防cc_优惠券

      总部位于日本东京的Almex运营着日本快乐酒店(Japanese Happy Hotels),该公司宣布遭到黑客攻击,包括电子邮件地址、出生日期......

    10-26    来源:长虹华伟

    分享
  • cdn防御cc_cc防护能力_无限

      2017 Cybersecurity Trends ReportJune 12, 2017Cybersecurity is an ever-evolving industry; from the latest innovations in security service offerings to the rapidly......

    10-27    来源:长虹华伟

    分享
  • cc防御_高防服务器租用_超稳定

      CNBC: Facebook FalloutApril 16, 2018 Following the recent controversy of Facebook's data scandal linked to Cambridge Analytica, our CEO & Founder, Robert Herjav......

    10-27    来源:长虹华伟

    分享
  • 服务器防御_网页攻击_超稳定

      Researchers at Malwarebytes and X-Force IRIS have come across an ongoing phishing campaign that’s using romance-themed emails to distribute the Nemty ransomwar......

    10-28    来源:长虹华伟

    分享
  • 服务器防护_网络安全保护_精准

      网络安全首席执行官:谁在你的网络里,他们在那里多久了?2019年2月20日 最初张贴在cybersecurityventures.com网站......

    10-28    来源:长虹华伟

    分享
  • ddos防御工具_网站安全防护措施有哪些_怎

      诈骗者冒充金融业监管机构FINRA,试图传递恶意软件或窃取SharePoint凭证,帮助Net安全报告。FINRA发布了一个警告,称钓鱼邮件......

    10-30    来源:长虹华伟

    分享
返回列表
Ctrl+D 将本页面保存为书签,全面了解最新资讯,方便快捷。