当前位置:主页 > DDOS和CC >

防ddos攻击_网络安全防护方案_如何解决

时间:2021-07-16 17:01来源:E度网络 作者:E度网络 点击:

防ddos攻击_网络安全防护方案_如何解决

UDPoS是最近发现的一系列销售点(PoS)恶意软件,旨在通过DNS隧道从PoS系统获取和过滤信用卡信息。这个新的家族利用了一些欺骗手段,试图伪装成LogMeIn服务包的更新,以及通过网络连接到伪装成合法LogMeIn域的URL。下面是这个新的恶意软件系列的技术概述。技术分析引爆后,UDPoS在创建持久性机制之前丢弃了几个组件,刮取了受害者内存中的磁道1和2信用卡数据,全面列举了主机系统信息,将所有检索到的数据打包在一起,并用RC4加密,最后通过DNS将数据过滤到外部指挥控制(C2)服务器。虽然PoS恶意软件中基于DNS隧道的过滤并不是什么新鲜事,但它确实强调了这样一个事实,即除了运行防病毒(AV)和EDR解决方案外,组织应该更加重视检查DNS流量中可疑或异常的特征。文件信息:SHA256de385ba88288785f3e9312d99884756e9f13598491d9efa817d78f0ac3ea06de分类滴管别名乌德波斯,间谍软件.Infostealer.POS,TSPY_UDPOS.A.公司类型Win32 PE大小157 KB(160827字节)时间戳2012-12-31 00:38:32ITW名称安装技术,7ZSfxMod_x86.exe概述7zip自解压存档,阿里云ddos防御价格,删除并运行安装程序。SHA256423e1020debbd759aa8ea07635ce79752c5f8bb6912f52fb001d1ce4128a39c5分类特洛伊木马别名乌德波斯,间谍软件POSCardStealer, 间谍软件.Infostealer.POS,TSPY_UDPOS.A.公司类型Win32 PE大小57.5 KB(58880字节)时间戳2017-10-25 12:09:16ITW名称LogmeinServicePack_5.115.22.001.exe概述将主信息窃取器组件作为服务安装和运行。SHA25662688903adfc719c5514f25a17563547aac4801959852f5d49faa93967ce86cf分类信息窃取者别名乌德波斯,间谍软件POSCardStealer, 间谍软件.Infostealer.POS类型Win32 PE大小88.0 KB(90112字节)时间戳2017-10-25 12:11:08ITW名称logmeinumon.exe概述试图从内存中窃取磁道1和2信用卡数据并通过DNS进行过滤。滴管和安装工:最初的滴管,名为更新文件,是一个包含服务(LogmeinServicePack_5.115.22.001.exe)和负载的7-zip自解压存档(logmeinumon.exe)组件。执行后,wayosddos防御设置,组件被提取到磁盘,服务元素通过7-zip的RunProgram特性引爆。然后,dropper终止并自删除,而服务组件继续并删除/执行一个伪随机命名的批处理文件(AcCfEdGflJeLMNd.bat公司),其目的是创建一个持久性机制,以便在系统重新启动时运行恶意软件。如果进程以管理员权限运行,恶意组件将被复制到%SYSTEM%目录下的LogMeInUpdService子目录中,并创建一个名为LogmeinUpgradeServices的服务;否则,组件将被放到%APPDATA%\Roaming下,并将以下值添加到注册表中:HKCU\Software\Microsoft\Windows\CurrentVersion\Run\LogMeInUpdService=%APPDATA%\Roaming\LogMeInUpdService\logmeinusvc.exe设置dacdefghdjklmnf="C:\Windows\SysWOW64\LogMeInUpdService\"设置AdCDaeeeIJfLMNO="C:\Windows\SysWOW64\LogMeInUpdService"\logmeinusvc.exe"SET aecdbghcckldno="C:\Users\analyst\Desktop\423E1020DEBBD759AA8EA07635CE79752C5F8BB6912F52FB001D1CE4128A39C5.exe"SET AfCcfFGcIJdLMNO="423E1020DEBBD759AA8EA07635CE79752C5F8BB6912F52FB001D1CE4128A39C5.exe"设置fBfdaFGHIJKLMee="logmeinusvc.exe"设置bacdebadijkcano="logmeinumon.exe"SET dBdcEFdHIJKLMNO="C:\Users\analyst\Desktop\logmeinumon.exe"设置ABCDeFGHaJfLdNO="C:\Windows\SysWOW64\LogMeInUpdService\logmeinumon.exe"SET ABCDEFdHaJKLfNO="C:\Users\analyst\Desktop\AcCfEdGfIJeLMNd.bat公司"如果不存在%mkdir%mkdir%taughtjklmnf%mkdir%TASKKILL/F/IM%%bao yijkcano%TASKKILL/F/IM%fBfdaFGHIJKLMee%如果存在%defghajfldno%del/F/Q%zhefghajfldno%copy%dBdcEFdHIJKLMNO%%zhefghajfldno%如果存在%AdCDaeeeIJfLMNO%del/F/Q%AdCDaeeeIJfLMNO%copy%aecdbghcckldno%%adcdaeeIjflmno%sc create LogmeinUpgradeServices binPath=\"C:\Windows\SysWOW64\LogMeInUpdService\logmeinusvc.exe\" start=auto sc start LogmeinUpgradeServices任务终止/F/IM%AfCcfFGcIJdLMNO%del/F/Q%dBdcEFdHIJKLMNO%del/F/Q%AeCDEbGHccKLdNO%del/F/Q%ABCDEFdHaJKLfNO%图1。AcCfEdGfIJeLMNd.bat公司一旦服务组件执行了这些任务,它就会让有效负载组件获得控制权。有效载荷:执行时,负载组件将首先将所有字符串解码到内存中。某些字符串使用XOR和以下键进行编码:7E67236E4B2F59615644764F353038244B40542D713D652A542F7E66F69364C2剩余的字符串使用RC4算法进行编码,并将XOR密钥(上面的)从十六进制转换为ASCII,ddos攻击防御鱼目混,以导出密钥:~g#nK公司/YaVDvO508$K@T-q=e*起飞/起飞H@o。]ET公司@图2。编码的RC4密钥之后,恶意软件将运行一个部分实现且有缺陷的例程,该例程旨在检查以下DLL和命名管道,作为反AV措施,并检测是否在虚拟环境中执行:图3:用于反调试目的的字符串Cmdvrt32.dll-科莫多AVSxIn.dll-奇虎360全安全AVSnxhk.dll-贪婪!成人影片sbiedll.dll-槐树沙洲\\.\pipe\buckoo-布谷鸟沙盒\\.\HGFS-VMware\\.\vmci-VMWare但是,代码中有一个主要的错误,因为它没有正确地迭代指针数组,导致相同的DLL名称被传递到getModuleHandleAPI四次。因此,只有在检测到cmdvrt32.dll时,该恶意软件才会退出;如果加载了其他三个库中的任何一个,谍盾高防服务器怎么cdn管理,则该恶意软件将无法退出。此外,用于检查命名管道是否存在的代码不存在,可能已被删除或根本没有实现。图4。有缺陷的反AV/VM检查接下来,恶意软件将生成唯一的受害者ID并将其保存到hdwid.dat公司文件。如果恶意软件的ID已经存在,则将使用该文件的ID来代替该文件的内容:生成由100个字母(大写和小写)组成的伪随机字符串计算此字符串的SHA-1校验和(20字节)将十六进制字符串转换为ASCII(40字节+尾随的"0")将此字符串的最后15个字节写入hdwid.dat公司文件,填充37个零字节(其中一些字节稍后将存储与执行相关的标志和变量)。图5。内容hdwid.dat公司创建并保存UID后,恶意软件将继续创建5个执行主要功能的线程,并等待其完成:线程1–收集系统信息线程2–初始化C&C通信并获取受害者的外部IP地址线程3–系统地向C2服务器发送ping消息线程4–刮取正在运行的进程的内存并提取磁道1和磁道2的信用卡信息线程5–通过DNS隧道将过滤后的数据发送到C2服务器图6。线程创建系统信息线程:与滴管类似,有效载荷会丢弃一个bat文件(信息电池.bat)这将使用几个常见的Windows命令行工具来枚举资源并编译受害主机的全面占用空间。这些命令包括:netview-显示指定计算机共享的域、计算机或资源的列表。netview/domain-显示网络中的所有域。ipconfig/all-显示所有适配器的完整TCP/IP配置。arp-a-显示arp缓存项的列表,包括它们的MAC地址。路线打印-打印一条或多条路线。systeminfo—显示有关计算机及其操作系统的详细配置信息,包括操作系统配置、安全信息、产品ID和硬件属性,如RAM、磁盘空间和网卡。tasklist/v/fo"TABLE"-显示所有正在运行的应用程序和服务及其进程ID,cc流量攻击防御,并将详细信息输出到表中。完整流程树概述如下:图7。工艺树所有收集的数据最初都保存到名为PCi.jpg公司,然后使用RC4(与字符串的密钥相同)进行加密,并按照以下格式拆分为DNS消息:1>数据2>数据4>系统信息消息的消息类型设置为bin。其他可能的消息类型包括ping、info、trp和note(稍后介绍):图8。编码消息这些消息被保存到.dat文件中,并由另一个线程通过DNS请求推出。首字母PCi.jpg公司然后删除文件。一旦启动,批处理文件调用信息电池.bat提供受害者主机的完整枚举。它通过使用常见的Windows网络实用程序对主机进行指纹识别,然后将信息首先复制到几个.csv文件中,然后复制到PCi.jpg公司用于渗出。然后它继续删除.csv文件以及信息电池批处理文件:网络浏览>vWfxqlTeOM.csv网络视图/域>caCffFGHIJ.csvipconfig/all>阿卜杜勒奇伊.csvarp-a>efghcj.csv路线打印>ABCaEFGHIJ.csv网站nbtstat/n>ebadfgfhif.csv文件系统信息>efbhij.csv电子表格.csv任务列表/v/fo"表">ygzljmmpi.cs公司

推荐文章
最近更新