安全是有分量的

ddos防御工具_linuxddos防御_零误杀

2022-05-14 18:30栏目:防护

ddos防御工具_linuxddos防御_零误杀

安全研究人员指出,一个名为EtterSilent的恶意文档生成器在地下论坛上越来越受到关注。随着它的普及,开发人员不断改进它,以避免安全解决方案的检测。

臭名昭著的恶意软件操作背后的网络罪犯开始更频繁地在其活动中加入EtterSilent,以提高有效负载交付的成功率。

使用宏和漏洞

至少从2020年中期开始,linux服务器cc防御工具,在地下论坛上发布了宣传eTersilent maldoc builder的广告,宣传绕过Windows Defender、Windows AMSI(反恶意软件扫描界面)和流行的电子邮件服务(包括Gmail)等功能。

在今天的一篇博客文章中,威胁情报公司Intel 471的研究人员指出,卖家提供了两种"风格"的武器化Microsoft Office(2007年至2019年)文档:利用已知漏洞或恶意宏。

利用的漏洞之一是CVE-2017-8570,这是一种高严重性远程代码执行。作者还提到了另外两个漏洞(CVE-2017-11882和CVE-2018-0802),日本高防cdn,尽管存在一些限制,并在视频中进行了演示。

根据Intel 471,带有宏的变体是更受欢迎的变体,可能是因为"与漏洞利用相比,价格更低,兼容性更高。"

带有宏代码的eTersilent maldoc可以充当DocuSign或DigiCert文档,要求用户启用对在后台下载有效负载的宏的支持。

由于它使用Excel 4.0 XML宏,宝塔一键安装cc防御系统,因此EtterSilent不依赖于Visual Basic for Applications(VBA)编程语言,这在恶意宏中很常见。

低检测率吸引大人物

研究人员注意到,最近的一次垃圾邮件活动中包含了一个EtterSilent maldoc,如何设置ddos防御,该活动删除了Trickbot的更新版本。该团伙在3月19日的一次活动中使用了相同的方法,用BazarLoader/BazarBackdoor感染系统。

英特尔471表示,其他网络犯罪集团利用互联网提供的服务开展活动。例如银行特洛伊木马IcedID/BokBot、Ursnif/Gozi ISFB和QakBot/QBot。与Trickbot一起,它们中的大多数被用于交付各种勒索软件(Ryuk、Conti、Maze、Egregor、ProLock)。

像这样多产的帮派一直在寻找新的方式来分配他们的有效载荷,同时尽可能少地引起注意,而EtterSilent maldoc服务似乎提供了一个很好的掩护。

3月初,使用该工具构建的一些武器化文档完全未被扫描服务中包含的所有防病毒引擎检测到。

一周前,不到几个防病毒引擎检测到一个使用该工具构建的武器化文档。在撰写本文时,VirusTotal的检测率增加到20/40。对于另一个文件,在六天内检测从16/62增加到20/62。

在去年的一篇文章中,EtterSilent的普通版本标价为130美元。还有一个更昂贵的层次,不过:定制存根230美元,通过加密使恶意文件唯一化。

英特尔471首席信息安全官布兰登·霍夫曼(Brandon Hoffman)告诉BleepingComputer,这些价格是针对maldoc builder的漏洞版本。对于宏变体,价格约为每构建9美元。

至于卖家,霍夫曼告诉我们,他们是"讲俄语的杰出演员",服务器怎么防御cc,在过去两年中一直活跃,对恶意软件加密、恶意Microsoft office文档、恶意软件加载程序和规避技术表现出兴趣。

英特尔471的博客提供了一系列泄露恶意文档及其交付的有效载荷的指标:Trickbot、IcedID、QBot、Ursnif和BazarLoader。

更新[4月6日,15:44]:澄清了有关价格的信息,并添加了有关Intel 471 CISO的威胁参与者Brandon Hoffman的详细信息。