安全是有分量的

ddos清洗_华为防ddos攻击_精准

2022-06-21 21:50栏目:科技报

ddos清洗_华为防ddos攻击_精准

黑客一直在使用假错误日志存储伪装成十六进制值的ASCII字符,linux服务器cc防御工具,这些字符被解码为恶意负载,广东高防cdn,旨在为基于脚本的攻击奠定基础。

该技巧是一个较长的中间PowerShell命令链的一部分,该命令最终提供用于侦察目的的脚本。

字里行间的阅读

MSP威胁检测提供商Huntess实验室发现了一种攻击场景,在这种场景中,一名在目标机器上具有持久性的威胁参与者试图使用一种不寻常的伎俩来执行其攻击例行程序。

攻击者已经获得了对目标系统的访问权并实现了持久性。在这个位置上,他们使用了一个名为"a.chk"的文件,该文件模仿应用程序的Windows错误日志。最后一列显示的似乎是十六进制值。

不过,这些是ASCII字符的十进制表示形式。一旦解码,他们会制作一个脚本,与指挥和控制服务器联系,高防cdn什么意思赵丽颖金婚,以便进行下一步攻击。

Huntess实验室ThreatOps副总裁约翰·费雷尔(John Ferrell)在今天的一份报告中说,百度cdn如何防御ddos,粗略查看模拟日志文件可能不会引起任何标记,因为数据包括时间戳和Windows内部版本号的引用更仔细的检查揭示了参与者提取相关数据块(数字字符)并构建编码有效负载的技巧。下面您可以看到数字如何转换为文本以形成脚本。

Ferrell解释说,有效负载是通过在主机上模拟合法任务(只有一个字母起作用)并共享其描述而获得的。涉及两个可执行文件,它们都被重命名为合法文件的副本,看起来无害。

使用合法文件名

其中一个名为"BfeOnService.exe",是"mshta.exe"的副本,该实用程序执行Microsoft HTML应用程序(HTA),海外游戏ddos防御,该应用程序因部署恶意HTA文件而被滥用。在这种情况下,它执行VBScript来启动PowerShell并在其中运行命令。

另一个名为引擎。exe",并且是"powershell"的副本。exe。"其目的是提取假日志中的ASCII数字,并将其转换为有效负载。其工作原理如下:

Ferrell注意到,以这种方式解码的脚本将内存中的补丁应用于反恶意软件扫描接口(AMSI)绕过它。AMSI帮助防病毒程序检测基于脚本的攻击。

执行第二个命令作为下载程序,以检索具有相同功能的另一个PowerShell命令。链的末端是一个有效载荷,用于收集受损系统的信息。

目前尚不清楚攻击者的目标,但最后一个脚本收集有关已安装浏览器、一般和特定税务准备和安全产品(Lacerte、ProSeries、Kaspersky、Comodo、Defender)以及销售点软件的详细信息。

虽然这远不是一次复杂的攻击,但它表明网络犯罪分子将探索所有途径在目标网络上站稳脚跟,并以创新的方式发展攻击,在某些情况下可能会有回报。