ddos盾_江诗丹顿高防_无限
应用
国内DDoS防御_香港高防IP防护DDoS攻击-寒冰互联
寒冰云联
2021-04-09 05:05

新的Tinynuke变种和野生的DGA 摘要Tinynuke或Nukebot malware是一种特洛伊木马,能够对现代web浏览器执行浏览器中人攻击,并配备了银行特洛伊木马所需的最常见功能(例如Webinjects、Socks proxy、VNC、远程命令执行)。这一恶意软件在2017年备受关注,此前完整的bot源代码在3月份被自称是恶意软件作者的人泄露。泄漏源包含一个完全正常工作的机器人,ddos防御开发,建设者和僵尸网络控制面板,正如我们在过去看到的,工作恶意软件的泄露通常会导致该恶意软件被越来越多地使用,新的变种和改编开始出现。我们在Bitsight不断监控互联网,寻找可能影响全球组织安全的新威胁。几个月前,我们第一次注意到一个未知的DGA出现在我们的网络流量分析系统中,我们无法识别。经过一些研究,ddos防御如何过滤假ip,高防ip和cdn,我们设法识别了背后的恶意软件,并发现了一个针对英国和加拿大用户的恶意软件操作,使用了Tinynuke的新变体,并进行了一些改进,例如使用DGA(域生成算法)作为其命令和控制通道,或使用非对称密码进行C2身份验证。恶意软件分发这些恶意软件通过社交网络和广告推广的虚假网站(假冒产品网站或虚假博客)传播,这些网站包含恶意软件安装者的链接。以下是其中一个网站用于分发安装了特洛伊木马的pdf阅读器软件安装程序的示例。另一个有趣的例子是一个伪造的加密货币安全建议博客,它的建立是为了提供一组已知工具的虚假安装程序,这些工具可以用来提高个人电脑的安全性。据报道,这个假博客是由一位发现可疑的用户通过facebook广告推广的。他在他的博客上写了这件事(见参考资料)。下图显示了该网站:软件安装程序包含木马程序和合法的软件安装程序,在大多数情况下,由一家名为"AGM 1980 Limited"的公司以数字方式签署,并由Comodo CA签署有效证书。一旦用户执行假安装程序:请求管理权限以继续安装;执行若干检查,以验证它是否在沙盒环境中运行(例如,CPU的数量、已安装的RAM、虚拟化软件);如果安装程序在沙盒上运行,它会继续使用合法的工具安装程序,而不会安装恶意软件;如果安装程序不在沙盒上,它会安装恶意软件,然后继续使用合法的安装程序;安装并运行特洛伊木马后,用户的系统受到危害,其数据处于风险之中。受影响国家为了收集有关恶意软件所针对的地理位置的一些数据,我们对其DGA域进行了深入研究,发现目前至少有2个不同的僵尸网络,每个僵尸网络在DGA上使用不同的TLD,每个僵尸网络的目标用户都在某个特定的国家。特别是,一个僵尸网络似乎瞄准了加拿大的用户和英国的其他用户。       网络注入和目标查看webinject配置,我们发现除了一些测试注入之外,还有两个目标的特定注入。亚马逊(Amazon)和劳埃德银行(Lloyds bank),如以下摘录所示(完整的webinjects在国际奥委会部分列出):这些注入包括来自使用相同电子邮件地址注册的域的附加javascript,该地址用于注册硬编码域和活动DGA域,这表明这些可能是由同一个人或组开发的。另外值得注意的是,除了这两个webinjects之外,正常的bot行为是在IE、Firefox和Chrome上收集HTTP POST请求数据,这些主机没有在config中的fg嫒blacklist对象中列出。发现以下黑名单处于活动状态:恶意软件变体这些恶意软件与被泄露的TinyNuke机器人基本相同。不过,还有一些新功能,其中最相关的是:DGA公司也许最有趣的修改是引入了DGA。这种DGA增加了僵尸网络对攻击请求的弹性,当硬编码的C2无法访问时触发。它的实现非常简单,它由一个数字的md5与当前日期连接组成。以下是DGA在python中的示例实现:使用公钥RSA密钥的C2身份验证机器人使用非对称加密技术对C2进行身份验证,以此来防止僵尸网络接管。为此,恶意软件:生成一个随机的8字节长的字符串并计算其md5值;使用在bot上硬编码的c2rsa公钥加密该值;检查对ping命令的响应中是否存在send值的md5;如果是,windows防御cc,恶意软件将这个C2作为活动C2存储在一个全局变量中,ddos防御软件S高防行吗,并在进一步的交互中直接与它通信;发现以下公钥正在使用中:C2代理层机器人已经被修改为支持C2和受感染机器人之间的代理层。HTTP请求现在具有以下格式:沙盒/恶意软件分析检测新版本包括一些泄漏源中没有的自我保护功能。这些与用于删除恶意软件的假软件安装程序中存在的相同:通过查找字符串来检查与沙盒相关的用户名:检查设备上的物理内存是否高于1Gb;检查系统是否有多个CPU;通过调用Sleep并检查进程是否真正休眠,检查Sleep命令是否被绕过;检查VMWare工具注册表项;检查VirtualBox来宾添加文件;检查用户是否通过远程桌面连接;结论这是TinyNuke恶意软件家族的一个有趣的演变过程,我们将继续监控这一威胁。工具书类https://securingtomorrow.mcafee.com/business/tinynuke-may-ticking-time-bomb/https://securelist.com/the-nukebot-banking-trojan-from-rough-drafts-to-real-threats/78957/https://krebsonsecurity.com/2017/04/self-declared-nuclear-bot-author-weighs-u-s-job-offer/https://securityintelligence.com/the-nukebot-trojan-a-brushed-ego-and-a-shopping-source-code-leak/https://rootvideochannel.blogspot.pt/2017/12/suspective-website-cryptocurrencysecuri.html国际奥委会E2A3BF38387C751BCB971F0234A89F74F2B7C807BF6503B58FCFBAAFA1D6