安全是有分量的

高防御cdn_网站防御服务_原理

2022-05-10 17:10栏目:应用

高防御cdn_网站防御服务_原理

一场全球规模的网络钓鱼活动针对全球范围内众多行业的组织,冰盾软件防御ddos多少g,通过专门定制的诱饵提供前所未有的恶意软件毒株。

根据Mandiant今天发布的一份报告,袭击在12月2日和12月11日至18日的两次浪潮中袭击了来自不同行业的至少50个组织。

在Mandiant threat研究人员追踪本次活动背后的"未分类"威胁组织时,华为DDOS防御做的最好,UNC2529使用定制的钓鱼诱饵在目标计算机上部署了三种新的恶意软件。

UNC2529在这些攻击中使用的恶意软件被严重混淆以阻碍分析,并且它试图通过尽可能在内存中部署有效负载来逃避检测。

Mandiant说:"威胁行为人广泛使用模糊处理和无文件恶意软件使检测复杂化,从而提供一个编码良好且可扩展的后门。"在这两波攻击中,威胁组织使用钓鱼电子邮件,链接到基于JavaScript的下载程序(称为DOUBLEDRAG)或带有嵌入宏的Excel文档,该宏从攻击者的命令和控制(C2)服务器下载了内存中基于PowerShell的dropper(称为DOUBLEDROP)。

DOUBLEDROP dropper捆绑了作为PE动态库实现的后门(名为DOUBLEBACK)的32位和64位实例。

后门被注入dropper生成的PowerShell进程。尽管如此,如果Bitdefender的防病毒引擎未在受损的计算机上运行,它仍被设计为稍后尝试将自身注入新生成的Windows安装程序(msiexec.exe)进程。

在下一个阶段,DOUBLEBACK后门加载其插件,并以循环方式接触C2服务器,获取要在受感染设备上执行的命令。

"关于整个生态系统的一个有趣的事实是,文件系统中只存在下载程序,静态能防御cc吗,"Mandiant补充道"其余的组件在注册表数据库中序列化,安徽抗ddos天网防御,这使得它们的检测更加困难,尤其是通过基于文件的防病毒引擎。"

UNC2529使用了大量的基础设施来实施攻击,大约有50个域被用于发送网络钓鱼电子邮件。

该组织还投入时间针对目标受害者定制攻击,显然是为了确保他们的电子邮件被视为来自商业合作伙伴或客户的合法信息。

他们使用这种策略来增加他们的诱杀信息被打开和目标被感染的几率。

Mandiant表示:"我们发现有七封伪装成客户主管的网络钓鱼电子邮件,目标是医疗行业、高科技电子产品、汽车和军事设备制造商,以及一家明确的国防承包商,主题线非常特定于加利福尼亚电子制造公司的产品。"在两次攻击浪潮中,UNC2529的网络钓鱼活动并没有集中在单个行业或单个地区。

虽然威胁组织的主要目标地区是美国,但袭击也针对来自EMEA(欧洲、中东和非洲)、亚洲和澳大利亚的组织。

"尽管Mandiant没有证据表明这一威胁行为人的目标,但他们在各个行业和地区的广泛目标与经济动机群体中最常见的目标定位一致,"Mandiant总结道"DOUBLEBACK似乎是一项正在进行的工作,Mandiant预计UNC2529将采取进一步行动,在全世界所有行业对受害者进行妥协。"

Mandiant报告末尾提供了泄露指标,安全狗能防御ddos,包括恶意软件哈希和用于发送网络钓鱼电子邮件的域。