安全是有分量的

香港高防服务器_ddos攻击能防住吗_零误杀

2022-06-20 05:40栏目:行业

香港高防服务器_ddos攻击能防住吗_零误杀

一旦安全研究人员发现GoldenSpy backdoor的活动,幕后的参与者立即后退,并提供了一个卸载工具,以清除恶意软件的所有痕迹。

GoldenSpy一直隐藏在Aisino Corporation的一款名为Intelligent Tax的软件中,一家ip防御ddos攻击银行要求其公司客户安装该软件以支付地方税。

对外国公司双重征税

在对属于其客户的系统的可疑行为进行调查后,Trustwave SpiderLabs的研究人员发现,智能税务的行为方式与GoldenSpy组件无关。

尽管GoldenSpy背后的参与者和目的尚不清楚,但研究人员表示,网站如何防御ddos,该组件具有类似于针对在ip防御ddos攻击运营的外国公司的协调高级持续(APT)活动的特点。

后门在系统上以最高权限运行,允许它执行任何软件,无论是否合法。观察到的活动包括过滤基本系统信息和引导远程服务器进行更新。

Aisino软件有自己的更新机制,卸载时没有从系统中删除后门。此外,GoldenSpy没有安装智能税务,而是在两小时后下载并无声部署。

此外,还安装了两个相同版本的autostart服务("svm.exe"和"svmm.exe"),以便在计算机上持久化。如果它们中的任何一个停止,其对应的程序将开始运行。

值得注意的是,svm。exe由一家名为Chenkuo Network Technology的公司的证书签署,其描述翻译为"经认证的软件版本升级服务"。

研究人员发现,2016年10月发布的一项公告显示,陈阔和爱西诺之间建立了"大数据合作"伙伴关系。他们承认GoldenSpy可以实现大数据访问和收集,但不知道陈阔是否积极、自愿地参与了这一行动。

exeprotector模块监视这两个副本,云安全抗DDOS防御系统,如果两个副本中的任何一个被删除,则检索新版本。这表明移除GoldenSpy绝非易事。

Trustwave发现后门使用的网络基础设施与Aisino的税务软件不同。它从域中获取更新("ningzhidata[.]com"-于2019年9月22日注册)托管其他GoldenSpy变体。

"在前三次尝试联系其命令和控制服务器后,它会随机化信标时间。这是一种已知的方法,可避免网络安全技术用于识别信标恶意软件,"Trustwave在其第一份报告中说,

这一行为是在一家全球技术供应商的系统上观察到的,该供应商是Trustwave最近在ip防御ddos攻击开设业务的客户之一。研究人员说,一家大型金融机构发生了一起极为类似的事件。

清理时间

暴露GoldenSpy行为三天后,Trustwave注意到Aisino智能税务软件下载的一个新组件,它完全消除了后门的所有痕迹。

卸载程序删除注册表项、GoldenSpy文件、文件夹和日志数据,然后将其自身从系统中删除,就像在初始恶意软件安装期间一样(没有权限,没有通知)。

研究人员注意到,从6月28日起,防御ddos攻击书籍,智能税务不再向受感染的机器提供GoldenSpy。它从223.112.21.2:8090获取了一个名为"AWX.Exe"的定制卸载程序Trustwave认为,这一威胁在2020年4月开始活跃,尽管他们发现带有2016年时间戳的版本直到今年才被分析。

Trustwave的研究发现,Chenkuo Technology的证书上签名为svm。exe于2016年10月宣布与Aisino建立"大数据合作"伙伴关系安全专家承认,GoldenSpy可以实现大数据访问和收集,但不知道陈阔是否积极主动地参与了这一行动。

他们的报告强调,高防cdn504错误,GoldenSpy的发现产生了大量目前没有答案的问题。

"我们还不知道威胁背后的范围、目的或参与者。它是否影响了数百名客户,或者仅仅影响了少数客户?它是为了破坏网络和过滤数据而设计的,还是仅仅是一个非常、非常糟糕的更新程序?这是一场由国家发起的威胁运动,安全狗防御ddos,是由软件设计公司的恶意内部人员策划的公司,甚至是公司外部的未知对手?"

很明显,GoldenSpy违反了大多数监管机构的合规要求,允许远程对手控制系统。在最坏的情况下,GoldenSpy是针对在ip防御ddos攻击运营的公司的APT活动。