当前位置:主页 > 数据安全 >

阿里云高防ip_高防三星2017_解决方案

时间:2021-05-02 14:49来源:E度网络 作者:E度网络 点击:

ddos怎么防_海外行动高_怎么防

作为一个社区,我们非常关注零日攻击,并基于解决这些问题做出许多投资决策。但是一个好的网络钓鱼攻击不需要零天。事实上,ddos攻击到底能不能防御,一些简单的网络钓鱼邮件中的高级社交工程可以在很大程度上损害你的用户。我们花了很多精力去理解和防范最近的零日袭击,但事实上攻击者正在使用更简单、更好的手段进入。除非你是一个高调的目标,如政府机构、国防承包商或从事高度敏感情报工作的类似企业,否则先进的网络钓鱼和社会工程策略的扩散比零日攻击更大、更具破坏性。最近的一个关于Dridex恶意软件回归的例子很好地说明了这一趋势,据报道,银行恶意软件被用来通过大规模网络钓鱼从英国和美国的受害者身上窃取4000万美元攻击。在在这篇文章中,我们将剖析一个通过网络钓鱼电子邮件活动进行的Dridex攻击。通过检查恶意软件的有效负载及其活动,我们可以更好地了解Dridex是如何工作的,同时为防范类似的恶意软件攻击以及响应这些类型的事件建立基线。我们将在一个安全的实验室环境中爆炸恶意软件,这样我们就可以观察到它的行为,而不会引起任何实际的破坏。网络钓鱼电子邮件示例我管理的两个安全BSides电子邮件地址最近受到类似的网络钓鱼活动的攻击。以下是我在这些地址收到的三封网络钓鱼邮件——其中两封是典型的"未付余额"网络钓鱼方案,另一封是冒充空缺职位简历的受感染文件。请注意,在每封电子邮件中都有红色标志,表明可能存在网络钓鱼——这三封邮件都缺乏个性化,而且相当模糊,但使用紧急语言迫使用户采取行动。仔细观察你会发现,与每个发件人的电子邮件地址相关联的名称与这些发件人的域名不匹配地址:网络钓鱼电子邮件类似这些是银行木马Dridex继续扩散和影响欧洲各地用户,特别是英国用户的主要途径之一。最近,在美国也看到了德里克斯的身影。Dridex活动使用精心设计的网络钓鱼电子邮件,其中包含恶意Word、Excel甚至PDF附件,以及设计的令人信服的语言,诱使用户激活宏并自行删除。上面的第二个例子特别棘手,因为附件打开时声称是一个"受保护的文档",linuxddos防御,并且有让收件人启用宏的说明,正如下面我们将看到的,这是启动恶意软件的关键步骤。一旦启动,木马的主要目的是感染用户的计算机并窃取他们的银行凭证。最近,英国国家犯罪局警告说,cc攻击防御开启后,Dridex已经被用来通过一个网络钓鱼活动从英国银行账户盗取大约2000万英镑的资金欧洲。怎么Dridex会感染用户的计算机现在我们已经确定了Dridex最常被传递的方式,让我们看看特洛伊木马是如何自我部署的。在这个场景中,用户打开了一个Excel文件格式的附加发票(类似于上述示例中的任何恶意附件)。当用户打开它时,他/她看到了一个看似无害的电子表格,却没有意识到后台发生了什么事情——在这种情况下,后台进程是Excel启动一个宏。使用process explorer,我们可以看到一个流程是由什么时候发生时,DG管理控制台从名为ATP9006的DG代理收到疑似Office宏网络钓鱼攻击的警报。为了响应此警报,可以部署多种防御措施,从阻止进程到终止文件完全。让我们将深入了解Digital Guardian如何看待正在发生的事件,以及为什么我们认为此过程是网络钓鱼攻击。检测到的第一个异常是Excel正在启动一个宏,宏会立即与互联网。那个宏的出站通信的网络数据显示以下:IP202.124.241.199源端口49186远程端口80dnsmembers[.]webshade[.]com[.]auDirectionOutboundProtocolHTTPURLhxxp://成员[.]webshade[.]com[.]au/43t3f/45y4g[.]ex在网络通信之后,我们看到Excel在写二进制文件文件:二进制文件文件被捕获,以便我们可以将其提交给其他工具以确定它是什么没错。一次写下来,这个过程启动了,我们可以收集更多关于这个过程的信息。使用processinvestigation特性,我们可以看到进程的属性,包括诸如它的存储和启动位置、它的哈希值(在VirusTotal或类似工具中进行调查)等信息。查看VirusTotal结果,我们可以看到该文件确实是一个特洛伊木马,大多数工具都将其识别为德里克斯,我们还可以检查与网络钓鱼攻击相关的警报,以收集更多详细信息,比如用户打开一个电子邮件附件然后Office执行代码:从那里开始我们可以进一步深入查看这些事件的细节并收集取证数据。此信息在搜索可能已打开附件的其他用户或用于反措施(如将文件附件名称或电子邮件标题/发件人添加到电子邮件中的阻止列表)时通常很有用系统。我们可以继续深入研究,看看Dridex恶意软件真的进来了。目前我们只知道Excel启动了一个宏并下载了一个可执行文件。但是这个宏是如何到达用户工作站的呢?我们设计了一个经过计算的动作,告诉我们参与攻击的文件最初来自电子邮件:深挖,我们可以看到用户打开的原始XLS文件;我们可以使用此信息在外围阻止此类文件附件,甚至将其应用于由DG代理管理的阻止规则。点击最后的自定义数据图标,我们可以看到电子邮件标题-另一个可以用来帮助控制或调查网络钓鱼传播的取证数据活动:集中注意力在创建的进程中,它的第一个任务是连接并注册到它的C&C服务器。我们再次看到网络连接被跟踪,因为这个过程是作为一个较长的事件链的一部分创建的。AT020引发了一个被称为p2020的特定网络警报-已识别净值处理TCP出站连接。两个事情很突出。第一个是IP地址,它托管在乌克兰:另一个有趣的是8448端口的通讯。这是一个不寻常的端口,可用于检测可能感染此版本特洛伊木马的其他主机。这些网络点为响应团队采取行动和采取进一步行动提供了更多的取证证据调查。辩护针对DridexThere,你已经知道了——我们刚刚探讨了最多产的特洛伊木马是如何危害用户的。请注意,实际上并不是零日进入机器,而是攻击的成功取决于最终用户是否愿意接受他们眼前所见的内容。一个好的安全意识程序可能是帮助用户抵御这些高级网络钓鱼攻击的最佳解决方案。然而,通过了解恶意软件攻击常见的过程和行为,可以建立有效的缓解措施,以阻止成功危害用户的正在进行的攻击。在这种情况下,应部署基于策略的控件,ddos防御系统是硬件吗,以防止Office程序在打开电子邮件附件时在宏启动后下载和/或写入二进制文件。为了让用户更好地意识到这些威胁,甚至可以部署用户提示来警告用户当Office程序试图从Internet下载文件或将文件写入磁盘时。这将防止此类活动在用户不知情的情况下在后台发生,并有助于培训用户识别和报告正在进行的攻击。在杀戮链的进一步下移,阻止到已知恶意域的出站网络连接(例如,当这个Dridex示例试图连接到它的C&C服务器时),防御ddos攻击路由器,或者在最坏的情况下,来自这些域的入站网络流量,是防止恶意软件执行的最后一道防线。

推荐文章
最近更新