安全是有分量的

cc攻击防御_防ddos服务器_零误杀

2021-03-29 14:10栏目:应用

无视ddos_怎么办_cdn防护系统

分享:在过去的几周里,科芬斯™ 网络钓鱼防御中心(PDC)发现基于PowerShell的恶意软件有所增加。PowerShell是一种非常强大的脚本语言,在许多组织中都被合法地使用。PowerShell具有几乎无止境的功能,php怎么防御cc,其中大多数对于那些希望恶意滥用PowerShell的威胁参与者来说尤其有趣。以下是吸引攻击者使用PowerShell的五个原因:所有Windows计算机上都安装了PowerShell默认情况下禁用PowerShell日志记录可以直接从内存执行,允许无文件恶意软件传递PowerShell在许多组织中是一个受信任的应用程序,并且经常被安全堆栈忽略它提供对Windows api的无限制访问下面是PDC看到的最近使用PowerShell的网络钓鱼活动。如图1所示,报告的电子邮件看起来像是对订单的确认,服务器防御ddos攻击,而且很容易被误认为是真正的电子邮件,因为它包含了受害者的正确姓名和组织详细信息。此外,电子邮件看起来结构和格式都很好,没有明显的拼写错误。图1–报告的可疑电子邮件但是,你的尸体上有一个042号命令的链接[.]com/[.]orderdetails/0459442确认,其中会自动下载.zip文件。zip文件包含一个非恶意的.jpg和.lnk快捷方式文件。检查.lnk文件的属性表明目标是父进程,如图2所示。图2–.lnk快捷方式的目标从.lnk文件中提取字符串将显示执行该文件后将启动的PowerShell代码(图3)。代码将保存到文件中我的文档.ps1在%USERPROFILE%\Documents目录中。图3–从.lnk快捷方式提取的字符串快速浏览一下代码就形成了我们的假设,即此代码用于下载文件。让我们仔细看看这个PowerShell脚本在做什么。为了便于阅读,剧本已作了调整。一个随机生成的14个字符的字符串,其中65..90相当于A-Z,97..122相当于Ascii中的A-Z。这个随机生成的字符串被分配给变量$m6g,稍后在脚本中被引用。UUID(通用唯一标识符)是一个128位的数字,可用于唯一标识计算机,它将生成并用于在%APPDATA%目录中创建文件夹,如下所示。在创建文件夹后启动命令行.exe并利用微软的bitsadmin实用程序从sarabuschlen[.]com/low/end下载内容。下面您将看到下载的内容使用变量$m6g保存到一个.ps1(PowerShell)文件中,该变量先前生成了一个随机字符串。又一次,命令行.exe启动并执行下载的PowerShell脚本。新下载的PowerShell脚本使用相同的cmd/bitsadmin技术从leasghler[.]eu检索另外两个文件:p2.ps1和hostp1.txt,如下所示。ps2.ps1文件以以下名称保存_主.txt在以前创建的名为UUID的文件夹的%APPDATA%目录中。hostp1.txt文件另存为_主机.txt放在同一个文件夹里。下面的脚本定义了一个用于加密文件的密钥_主.txt作为配置.ini以及_主机.txt作为网页.ini.为了在受害者计算机上实现持久性,该脚本创建一个run20.vbs文件,并添加一个名为AppLog的调度任务,该任务利用run20.vbs脚本。任务从每天早上7:00开始,在被触发后,它每隔3分钟无限期重复一次,如下所示。为了在系统重新启动后继续运行,下面的脚本将创建一个文件重新启动.vbs它由名为OneDrive独立更新任务v2 sLoad的计划任务使用。如上所述,脚本下载两个文件,将它们放入_配置.ini以及_网页.ini,并对内容进行加密。该脚本提供了两个url,它们指向放置在这两个.ini文件中的数据,但是这些文件不能使用web浏览器或wget直接检索,web服务器以403 Forbidden响应(图4)。图4-403禁止信息您可以通过使用一个简单的PowerShell脚本来解决这个问题。下面的脚本将p2.ps1文件下载到桌面上。然后可以修改脚本以下载hostp1.txt文件。我们现在能够进一步分析这种基于PowerShell的恶意软件,希望获得有关其用途和可能的C2服务器的信息。从加密并保存到的hostp1.txt文件开始网页.ini. 打开文件会显示两个URL:恶意软件的核心位于ps2.ps1 aka中配置输入. 找到的第一个有趣的函数称为getscreenscapture。下面显示了截图并将其放入%APPDATA%目录中的UUID目录中,然后上载到C2服务器。下面显示脚本使用hostp1.txt(网页.ini)文件,与bitsadmin结合使用,从保存在该文件中的URL下载文件。如果返回的文件包含单词"sok",那么脚本将休眠30秒(30000毫秒)。此外,该恶意软件生成一个网络共享列表,并收集有关受害者使用的处理器和操作系统的信息。此外,该脚本将英国主要银行的名称和域名保存到一个变量中,如下所示。域名将与恶意软件通过执行ipconfig/displaydns命令检索的DNS解析程序缓存一起使用。如果受害者浏览到配置文件中提到的其中一个银行,则很有可能将其存储在DNS缓存中,因此恶意软件可以进一步使用该域名。除此之外,下面列出了所有进程正在运行的进程。该恶意软件使用捕获的数据形成一个HTTP请求,该请求类似于下面的请求:它使用该HTTP请求来查询C2服务器。此查询的结果存储在一个名为A04F4D56-564E-D804-8EF0-B3FCE5E01A07的文件中,该文件位于我们之前看到的%APPDATA%目录下。根据文件的内容,云服务器防御ddos,恶意软件可能会采取进一步的措施。在截获5张截图后,恶意软件将.jpg文件传输到C2服务器并从受害者的系统中删除。下面的脚本显示了二进制文件是如何处理的。在我们的分析中,我们发现到C2服务器的连接是通过svchost.exe(图5).Svchost是一个合法的Windows进程,高防cdn哪个好,用于从DLL库运行的服务。图5:tcplogview中的C2通信查看ProcessHacker可确认恶意PowerShell脚本正在作为的子进程运行wscript.exe,它又运行svchost的子进程(图6)。图6–ProcessHacker进程列表这里分析的基于PowerShell的恶意软件提供了一个很好的概述,抗ddos防御,通过一些简单的脚本可以实现什么。在过去的几个月里,Cofense网络钓鱼防御中心已经注意到使用PowerShell的网络钓鱼攻击有所增加。易用性与对Windows api的无限制访问捆绑在一起,以及提供无文件恶意软件的可能性引起了许多攻击者的兴趣。虽然许多组织合法地使用PowerShell,但恶意的力量不应被低估。这里有三个小贴士可以最大限度地降低通过基于PowerShell的恶意软件感染的风险:更新PowerShell:确保所有计算机上都运行最新版本的Windows管理框架启用和配置PowerShell日志记录:默认情况下,禁用PowerShell日志记录。配置系统以记录正在执行的任何PowerShell命令,并将这些日志合并到安全工作流中部署策略:只允许在您的环境中使用经过测试、预先批准的脚本最重要的是,当你看到一些可疑的东西时,你就行动起来!有关主要恶意软件趋势的展望和回顾,请查看2018年Cofense malware Review。快速总结感染媒介:.lnk调用父级的脚本:命令提示符混淆:混合大小写字母,连接,配置文件加密持久性:两个预定任务功能:捕获屏幕截图、查询DNS解析程序缓存、查询正在运行的进程、标识网络共享、标识操作系统和计算机名称、收集CPU详细信息 妥协指标感染网址:[.]com/[.]订单详情/0459442确认 关联IP:91[.]218[.]127[.]156 下载的ZIP文件:文件名:0459442-确认.zipMD5号:0459442-确认.zipSHA256:e873a1092fe54af1181d12d15fdabdd153454dc0ea4ca4dbd297c19ff1918c16文件大小:15842字节 .lnk文件:文件名:0459442-确认.lnkMD5:c6065e1605f06babba9f6490cb19282eSHA256:668828E1381C9C5771DA98F080154D68F5BCEB333B0F8AB930FF1EBEEABBB4文件大小:1468字节 感染文件:文件名:{14RandomCharacters}.ps1MD5:69171d1754e2c62415dca60e00ff22f8SHA256:659776f78f265094f1ebd9776f27ecbaadb4584e768df3e30c5fc2f0268217dd文件大小:3883字节 文件名:run20.vbsMD5:5dc897b18751fa1400839ad5f6956a24SHA256:2F245667F065B5879803C3EAAED4B77DA2524C36F64555756706D94283F8D7文件大小:934字节 文件名:ps2.ps1MD5:f98eaa0793c82ed61d9f2901673eba55SHA256:2133FDB23092BEE2C743EA2DFE8FF9778E321C4C89509880FB92D82EA1CCAC5C文件大小:8104字节 文件名:配置.iniMD5:bc47e80e8cca465ce1841acd301761d6SHA256:b6af9b606bd2f0e43fa95dd260c6ee0f5a37417c09321ad7263123ac78f3d4ff文件大小:177878字节 文件名:网页.iniMD5:0b6b5a306065338f0aafe012918144edSHA256:CA28E152B7A2E307A122D785E5BD20B2F395BDAC8609A17E7F3E6ABFCCCAB19文件大小:1414字节 文件名:{7RandomCharacters}.ps1MD5:a7330e5067ac2789c32f25413fb6c5eeSHA256:e69f5911c06661e