香港ddos防御_香港高防云_无限

香港ddos防御_香港高防云_无限

Netskope威胁研究实验室在谷歌发现了一个有趣的驱动下载攻击。参与此次攻击的威胁参与者最初使用谷歌网站中的文件柜模板部署了一个银行特洛伊木马程序,作为传递工具。这个名为"LoadPCBanker"的恶意软件使用SQL作为一个过滤通道,将受损的受害者数据发送到服务器。这次攻击有两个方面值得注意:首先,用户对谷歌这样的供应商有一种隐性信任。因此,他们更有可能成为谷歌内部攻击的受害者服务。第二,而其他服务,如Gmail阻止一些恶意文件上传,谷歌文件柜似乎没有任何这样的保护。这篇文章描述了我们对攻击和恶意软件有效负载的发现和分析。最后,我们还将提出一些建议,帮助保护和补救这种威胁。Netskope检测Netskope Advanced Threat Protection将与此攻击关联的恶意软件检测为Win32。装载机发电机.Netskope客户还可以创建一个策略来阻止所有来自Google站点的上传和下载,如图1所示。图1:Google站点中上传和下载活动的块策略披露Netskope于2019年4月12日向谷歌报告了托管恶意软件的相关谷歌网站。恶意软件托管的谷歌网站我们最初发现这些恶意软件是从以下谷歌网站发布的网址:https://网站.google[.]com/site/detailsreservations/Reserva Manoel网站_pdf.rar?attredirects=0&d=1。这些文件是用经典的谷歌网站托管的。在包含该文件的站点上使用"Recent site activity"选项,我们发现有两个文件驻留在顶层,如图2所示。图2:Reserva Manoel_pdf.rar文件在谷歌网站的最高层威胁参与者使用经典的Google站点创建一个网站,然后使用文件柜模板上传有效负载,最后将生成的URL发送给潜在目标。这个过程的可视化描述如图3所示。图3:使用Google站点描述恶意软件的传递机制攻击杀伤链LoadPCBanker恶意软件的攻击杀死链的描述如图4所示。它从第一阶段的父级下载程序开始,它从文件托管网站下载下一阶段的有效负载。下一个阶段的有效负载收集受害者的截图、剪贴板数据和按键。最后,它使用SQL,一个exfiltering通道将受害者数据发送到服务器。图4:LoadPCBanker的攻击杀死链LoadPCBanker分析下载的RAR档案"Reserva Manoel_pdf.rar文件"包含一个可执行的"PDF预订详细信息MANOEL CARVALHO hospedagem熟悉的详细信息PDF.exe文件". 文件名翻译为"PDF预订详细信息MANOEL CARVALHO宾馆详细信息"PDF.exe文件"从葡萄牙语到英语,表明可能是针对巴西或葡萄牙语用户。在Delphi中编译的恶意可执行文件使用PDF文档图标伪装,如图5所示。图5:可执行文件中使用的PDF图标此示例主要用作下载程序来下载下一阶段的有效负载。执行时,会在C驱动器中创建一个名为"clientpc"的隐藏文件夹。然后,下一阶段加载libmySQL50.DLL,otlook.exe,和客户机.dll从文件托管网站kinghost[.]net下载到同一位置,使用URL drivemailcomratilhamentoanexos[.]金主机.net,如图6所示。图6:从drivemailcompartilhamentoanexos下载的下一阶段有效负载[.]金主机.net同时Otlook.exe以及客户机.dll是恶意文件,libmySQL50.DL是一个mysql库。威胁参与者使用libmySQL50.DLL将受害者数据发送到服务器。接下来,otlook.exe被执行。下载程序从系统的WinINet缓存中删除所有下载url,如图7所示。图7:删除URL缓存一旦完成此操作,恶意软件将进一步连接到托管在中的URLzzz.com网站[.]ua通知受害者已经感染了恶意软件,如图8所示。图8:连接到zzz.com网站[.]ua下一阶段有效载荷分析Otlook.exe是delphi编译的可执行文件,可加载libmySQL50.DLL和客户机.dll在执行过程中,如图9所示。图9:Otlook.exe正在加载libmySQL50.DLL和客户机.dll执行期间它的功能主要是间谍软件,执行以下操作:录制屏幕截图并另存为将文件名另存为screen.jpg,ddos防御原理,位置为"C:\clientpc"(使用API的GetDesktopWindow,GetDC)将剪贴板数据记录在"C:\clientpc"位置\capctrl.txt文件"(使用API GetClipboardData)记录位置"C:\clientpc"中的所有击键\关系日志(使用API GetAsyncKeyState)与第一阶段下载程序类似,从WinINet缓存中删除所有下载URL。Otlook.exe下载名为"的文件数据库日志"从URL[.]br/hostmeu,用户代理:Otlook,如图10所示。图10:数据库日志下载自[.]br/主机它包含编码格式的外部SQL数据库服务器凭据。在中的解密循环中解码otlook.exe如图11所示。图11:的解密循环数据库日志解码后的值包含服务器的凭证、用户名、密码、端口和数据库,以便将受害者的详细信息过滤到SQL server,如图12所示。图12:SQL数据库凭证SQLC2 exfiltering的导出如图13所示。图13:SQL过滤Otlook.exe还下载了两个名为客户.cfg以及过滤器.cfg从URL[.]com.br/海森到"C:\clientpc"位置。cfg文件包含配置详细信息,如DNS、端口、日志、ID和连接过滤器。我们还发现攻击者通过更新数据库日志文件。SQL数据库在服务器中包含一个数据库和两个表,如图14所示。图14:SQLServer数据库和表在我们的分析过程中,我们发现威胁参与者特别感兴趣的是监视一组特定的机器,ddos10g防御够吗,并捕捉受害者机器的截图,这些机器在这次攻击中受损。我们被监控的反应非常活跃,因为我们被感染了很多。在撰写本文时,高防cdn排名,威胁参与者正在积极监控20名受感染主机。相似的应变-连接和连接使用VirusTotal被动DNS,我们能够识别与C2–albumdepremios[.]通信的类似样本com.br公司,如图15所示。图15:albumdepremios的被动DNS记录[.]com.br公司我们认为,类似的恶意软件从2014年初就已经存在,而这一波最新攻击自2019年2月以来一直持续,基于被动DNS结果和我们的内部威胁情报框架。可能是同一个威胁参与者参与了这些攻击,或者源代码在这段时间内被多个参与者重用。当我们继续分析相似的紧张关系和联系时,我们发现了另一个由威胁参与者创建的Google站点URL。站点活动如图16所示。图16:Google站点中托管的类似恶意软件操作方法是相同的,但是第一阶段下载器的URL已经更新,如图17所示。图17:更新的第一阶段下载程序URLC2的Whois记录,albumpremios[.]com.br公司,如图18所示。图18:Whois albumpremios[.]的记录com.br公司世界卫生组织的记录显示,该网站创建于2014年3月,在巴西主办。根据收集到的细节,人们高度相信威胁行为人的目标是来自巴西的个人。结论我们发现了通过谷歌网站发布的名为"LoadPcBanker"的银行恶意软件,目标是来自巴西的个人,并使用SQL作为过滤渠道。我们还发现,威胁行为人使用谷歌经典网站的文件柜模板来托管恶意软件,而且上传的内容没有被谷歌阻止。虽然谷歌网站的使用出现了新的情况,但使用我们的内部系统、样本库和Netskope威胁情报框架,我们能够追溯到2014年初这起攻击的源头。Netskope威胁研究实验室将继续监控威胁参与者的传递机制和发展。署名:感谢Arun Prabhu Dhandapani对攻击者SQL服务器的帮助和输入。建议Netskope建议采取以下措施打击恶意软件活动:始终检查链接的域。了解登录敏感服务时通常使用的域。另外,能够识别公共对象存储域。这些知识将帮助您区分精心制作的钓鱼/恶意软件网站和官方网站站点。部署一个实时可见性和控制解决方案,高防cdn哪里好,用于监视受许可和未经批准的云的活动帐户。获取对IaaS、SaaS、PaaS和web进行全面的威胁和恶意软件检测,多层次的威胁检测和修复,以防止您的组织在不知不觉中传播类似的威胁威胁。积极跟踪未经批准的云应用的使用情况,阿里云cdn防御cc,并强制实施DLP策略以控制文件和数据进出公司环境创建安全策略以阻止具有不同文件内容类型的PE文件"image/png""image/jpg"创建一个安全策略来阻止未知的用户代理,如"User Agent:otlook"警告用户不要打开不受信任的附件,无论其扩展名或文件名。警告用户避免执行任何文件,除非他们非常确定文件是良性的,即使文件是从传递的似乎是合法的,比如sites.google.comHover网站您的鼠标在所有超链接上进行确认,然后单击链接。启用两个事实

热门推荐
  • ddos防攻击_白盾云盘_3天试用

      BleepingComputer warns that a fake Steam skin giveaway site is stealing users’ Steam credentials. The site appears to be running a 26-day promotion giving away......

    08-31    来源:长虹华伟

    分享
  • 服务器高防_英伟达神盾游戏_秒解封

      医疗保健合并和收购迫使医疗服务提供商开发出管理患者旅程的统一方法。越来越多的人开始关注如何使患者和提供者能够无......

    09-04    来源:长虹华伟

    分享
  • ddos清洗_服务器高防御_如何解决

      裸体保安公司(Naked Security)的保罗•达克林(Paul Ducklin)警告我们,有一个骗局刚刚浮出水面,他承诺,如果对方没有告诉......

    09-05    来源:长虹华伟

    分享
  • 服务器防御_cdn防御直播室_如何防

      勒索软件已经存在了几十年,但它迅速在攻击者中流行起来。2015年,联邦调查局收到了2453起勒索软件投诉,受害者损失超过......

    09-08    来源:长虹华伟

    分享
  • cdn防御_cc攻击怎么防御_零元试用

      梭鱼的一项调查发现,七分之一的组织在七个月的时间里经历了横向网络钓鱼攻击,其中42%的攻击没有被接收者报告。横向网......

    09-08    来源:长虹华伟

    分享
  • 高防IP_cdn防护ddos_免费测试

      想想这个。你是一家企业的IT主管组织。你没有生活在岩石下,因此很好意识到世界各地的公司都在与网络安全作斗争。是否......

    09-09    来源:长虹华伟

    分享
  • 云防护_服务器加防护_方法

      86多年来,卡特彼勒代理商芬宁提供了客户期望的无与伦比的服务。芬宁公司成立于1933年,到1965年雇佣了1000名员工,年收入......

    09-09    来源:长虹华伟

    分享
  • 云盾高防采集_网站cc防御_如何解决

      在本周的安全头条中,我们看到了更多的"亮点"。例如,迈阿密戴德学院(miamidade College)本周开设了美洲网络安全中心(c......

    09-15    来源:长虹华伟

    分享
  • cc防御_cdn高防原理_3天试用

      SailPoint很高兴能与身份管理市场中的其他一些创新者合作,在本周举办一场"面向21世纪IT任务的身份管理"的在线研讨会。Sa......

    09-30    来源:长虹华伟

    分享
  • ddos清洗_防火墙能不能防ddos攻击_指南

      今年早些时候,我有机会在美国举行的一系列CISO早餐会上,以及最近在伦敦举行的Gartner IAM峰会上,与数十位当前和未来的客......

    09-30    来源:长虹华伟

    分享
返回列表
Ctrl+D 将本页面保存为书签,全面了解最新资讯,方便快捷。