当前位置:主页 > 数据安全 >

阿里云高防ip_ddos防御策略_快速接入

时间:2021-05-02 15:24来源:E度网络 作者:E度网络 点击:

阿里云高防ip_ddos防御策略_快速接入

这些年来,勒索软件被用来勒索数百万个人和组织,攻击可追溯到1989年的AIDS/PC电子人特洛伊木马。从那时起,文件加密勒索软件,如CryptoWall和CryptoLocker,已经成为网络犯罪分子最喜欢的工具,它可以在要求大量数据和设备的同时,使数据和设备变得无用奖金。迟了联邦调查局声称2013年的密码锁和用户被加密的数据–为他们声称犯下的网络犯罪行为提交付款。随着50多万人成为攻击的受害者,研究人员和媒体不久就开始称CryptoLocker和类似勒索软件是"有史以来最糟糕的恶意软件"。在2014年的一次名为"勒索软件的新祸害"的黑帽简报会上,CryptoLocker和CryptoWall因其强大的加密能力而被认为是勒索软件的突破性发展。从那以后,ddos防御流量,勒索软件只继续传播和发展,一场加密墙运动在2014年又声称有60万台设备和加密了50亿份文件。据美国联邦调查局(FBI)称,迄今为止,这两个勒索软件家族共抓获网络犯罪分子逾1800万美元;自2014年4月首次出现以来,这一数字中至少有1500万美元来自CryptoWall。从组织角度看,勒索软件攻击可能具有毁灭性且代价高昂。虽然这些威胁中有许多是已知的,ddos防御溯源,但它们仍然非常难以捉摸,而且很难被发现,因为有大量的变种是专门用来规避现有检测方法的。因此,能够在破坏发生之前检测并阻止勒索软件攻击是至关重要的。有鉴于此,我们想分享一个来自数字卫士实验室的案例,来演示一种通过事件关联检测勒索软件攻击的更有效方法。此演示使用完全修补的Windows 7 x64虚拟机机器。启动我们看到一个不寻常的资源管理器.exe在其中发射资源管理器.exe被一个未知的独立发射了工艺:正常, 资源管理器.exe将作为用户初始化.exe,这是用户首次登录或启动时触发的基本级进程之一一台计算机。但是,启动过程用户初始化.exe一旦计算机启动就关闭,ddos防御平台,所以很少看到用户初始化.exe或类似的父进程启动资源管理器.exe初始启动后。在这种情况下,资源管理器.exe从未知父进程启动,而不是用户初始化.exe. 还有其他合法/善意的程序可以启动资源管理器,所以尽管看到资源管理器.exe从父进程启动,而不是用户初始化.exe是不寻常的,它不是一个独特的足够特征,认为这是恶意软件但是,在里面同一秒,我们看到进程设置自动运行注册表项-总共4次。这将使恶意进程/恶意软件能够自动运行并避免被用户检测到。再一次,这可能是一个正常的过程,防御ddos系统,但看到这一点后立即出现异常资源管理器.exe发射给了我们一个更好的迹象表明它可能是恶意的。不过,这还不足以排除这可能是一个正常的应用程序,所以让我们开始吧下一个我们检测到异常svchost.exe执行其中svchost.exe小时候启动的可疑程序资源管理器.exe过程。同时svchost.exe是一个完全正常且非常常见的过程,众所周知,CryptoWall 3.0依赖于svchost.exe注入执行关键恶意软件功能的代码(其他可能指向恶意进程的因素包括启动上下文、未知文件哈希、,或者是VirusTotal得分——甚至有可能这个过程本身是伪造的,并且伪装成svchost.exe只是为了显得合法)。考虑到这一点,与我们刚刚看到的资源管理器.exe启动后,可疑的自动运行注册表项被设置,我们可以采取可疑的孩子svchost.exe执行作为计算机上正在运行恶意进程的证据。此时,数字监护人代理将自动阻止此过程,但为了在安全的实验室环境中演示,阿里ddos防御,我们让它继续跑,跑让流程继续运行,我们看到在出站网络连接的重复尝试,作为恶意软件的信标,以找到一个活跃的指挥和控制基础设施。这是CryptoWall3.0变体获取其配置文件的执行过程中的关键步骤。此时(在野外),恶意软件将与命令和控制服务器交换密钥,并开始用2048位RSA加密加密主机-这几乎是不可破解的,将有效地将主机变成一个非常昂贵的镇纸。它值得注意的是,从开始到感染,这个过程是跨越的四秒钟。能够在活动展开时实时阻止它-在这种情况下,异常svchost.exe一秒钟内的进程-对于成功抵御恶意软件攻击至关重要。虽然这些过程中的许多过程本身看起来很平常,但通过关联可疑指标获得的洞察力使我们能够主动阻止正在进行中的勒索软件攻击,并在损害发生之前阻止它-无论是数据丢失、勒索、为进一步攻击打开后门,或者出现上述"纸张重量"情况。更重要的是,通过建立一个基于一系列独特过程的恶意软件事件模型,我们有一个基线来帮助在未来。迪米特里斯Tsapakidis是数字卫士EMEA的专业服务团队负责人。Andy Passidomo是Digital的网络安全研究员守护者.CryptoLocker通过网络弹出图像SecurityIntelligence.com网站.

推荐文章
最近更新