快捷搜索:  as  创意文化园  1874  test  2035  1967  1962  1833

usdt充币教程(www.6allbet.com):Dridex和Emotet基础架构的相似之处

USDT第三方支付

菜宝钱包(caibao.it)是使用TRC-20协议的Usdt第三方支付平台,Usdt收款平台、Usdt自动充提平台、usdt跑分平台。免费提供入金通道、Usdt钱包支付接口、Usdt自动充值接口、Usdt无需实名寄售回收。菜宝Usdt钱包一键生成Usdt钱包、一键调用API接口、一键无实名出售Usdt。

从2011年被发现至今,Dridex银行木马已经成为最盛行的银行木马家族。光在2015年,Dridex造成的损失估计就超过了4000万美元,与其他银行木马家族差别,由于它总是在不停演变并让其变得加倍庞大。Dridex是一种针对Windows平台的庞大银行恶意软件,可通过提议垃圾邮件攻击流动来熏染电脑,并窃取银行凭证及其他个人信息,以便实行欺诈性转账。在已往十年中,该恶意软件举行了系统性更新和开发。最新Dridex已更新并通过多个垃圾邮件攻击流动举行了广泛流传,被用于下载有针对性的勒索软件。今年银行木马Dridex首次跻身十大恶意软件排行榜,成为第三大常见的恶意软件。EMOTET银行木马自2014年以来,一直活跃至今,现在已经成为最具有影响力的恶意软件家族之一。该木马通常是通过垃圾邮件流传,已经迭代出很多个版本。在早期通过恶意的JavaScript剧本举行投递,厥后转为通过含有恶意宏代码的文档下载举行流传。亚信平安曾多次对该木马举行过披露,住手当前,该木马的基础设施仍然在不停更新。

在此文中,我们将注释我们的威胁检测剖析师若何使用从全球互联网基础设施捕捉的netflow数据来发现之前未被研究的Dridex运营商使用的分层网络方式,以及它与Emotet基础设施的意外重叠。

威胁检测剖析师发现,Emotet C2服务器正在通过端口TCP / 38400与IP 179.43.147.77重复通讯。这是迄今为止我们所看到的Emotet网络基础架构行为中的一个异常。

针对这种异常,我们的威胁检测小组举行了考察,以试图确定179.43.147.77的目的和行为。

在对全球互联网基础设施中网络的网络流举行历久监视和剖析时代,我们考察到多个恶意软件家族通过统一端口TCP / 38400与IP通讯。我们的考察效果如下图所示:

在数目上,我们考察到通过TCP/38400与179.43.147.77对话的数目:

· 10个Emotet时代2个C2;

· 4个Emotet时代3个C2;

· 7个Dridex C2。

对可用开源情报(OSINT)的剖析显示,TA505组织在2019-06-20已使用179.43.147.77来流传恶意软件FlawedAmmyy1 2 3。该IP所属的托管公司,Private Layer Inc,是一家离岸托管公司,被考察到在已往被威胁行动者行使。

179.43.147.77的目的是什么?它仍然由TA505治理吗?

探索与TA505的毗邻

鉴于FlawedAmmyy于2019.6.2公布于179.43.147.77,已对TA505是否仍在治理该服务器举行了考察。由于Shodan每月至少执行一次互联网局限的扫描,因此凭据历史扫描数据在当前时间局限2019.6.2-20197.20中设置了当前使用的SSH密钥:

若是将新的SSH密钥设置为2019.6.2的情形,则解释流传TA505绑定的FlawedAmmy示例的统一操作员也在操作通过端口38400毗邻的下令和控制服务器的治理。

,

Usdt第三方支付平台

菜宝钱包(caibao.it)是使用TRC-20协议的Usdt第三方支付平台,Usdt收款平台、Usdt自动充提平台、usdt跑分平台。免费提供入金通道、Usdt钱包支付接口、Usdt自动充值接口、Usdt无需实名寄售回收。菜宝Usdt钱包一键生成Usdt钱包、一键调用API接口、一键无实名出售Usdt。

,

Dridex已由TA5055流传和使用,从而加强了毗邻。

与此理论相反的是,TA505与Emotet组没有已知的联系,这就引出了一个问题,即他们为什么要治理Emotet C2服务器。

此外,除了Dridex之外,TA505使用的恶意软件家族都没有与179.43.147.77举行过通讯,从而使毗邻加倍懦弱。

凭据这些考察效果,我们以为179.43.147.77的运算符在FlawedAmmy刊行后发生了转变。

179.43.147.77的用例

179.43.147.77背后用例的焦点是知道何时毗邻服务器变为流动C2服务器。若是它们最初在一段时间内毗邻到179.43.147.77,然后住手通讯并变为流动的C2节点,则可能解释179.43.147.77的运营商移交或出售了对这些服务器的接见权。

另一方面,若是在服务器处于流动的C2时服务器与179.43.147.77之间的通讯正在举行,则解释179.43.147.77与Emotet和Dridex背后的组织有更慎密的联系。

我们不以为179.43.147.77背后的操作员与Emotet和Dridex背后的组织巧合地入侵了统一服务器,由于指向179.43.147.77的接入毗邻险些完全是Emotet和Dridex C2服务器,也就是说,受控服务器中的非随机性。

Dridex C2流动时间表

时间线显示,大多数IP在与179.43.147.77通讯时都充当C2,这降低了操作员179.43.147.77仅将受管服务器的接见切换到其他参与者的可能性。

Emotet Epoch 2流动时间表

对Emotet Epoch 2 C2举行相同的剖析显示出一些不确定的行为:

似乎他们在成为Emotet C2之后或同时最先自动与179.43.147.77通讯,由于用于时间轴剖析的可用netflow捕捉太少,因此从图中排除了五个监测点乱七八糟的C2。NetFlow是一种网络监测功效,可以网络进入及脱离网络界面的IP封包的数目及资讯,最早由思科公司研发,应用在路由器及交换器等产物上。

总结

威胁检测剖析师得出的结论是,从2019年12月下旬最先,179.43.147.77的运营商与现在使用Dridex恶意软件的组织有密切联系,而且一直连续到今天。攻击者面临着基础架构的溃逃,而且似乎需要持久性和集中控制。

本文翻译自:https://hello.global.ntt/en-us/insights/blog/dridex-and-emotet-infrastructure-overlaps:
发表评论
sunbet声明:该文看法仅代表作者自己,与本平台无关。请自觉遵守互联网相关的政策法规,严禁发布色情、暴力、反动的言论。
评价:
表情:
用户名: 验证码:点击我更换图片

您可能还会对下面的文章感兴趣: