日韩无码专区无码一级三级片|91人人爱网站中日韩无码电影|厨房大战丰满熟妇|AV高清无码在线免费观看|另类AV日韩少妇熟女|中文日本大黄一级黄色片|色情在线视频免费|亚洲成人特黄a片|黄片wwwav色图欧美|欧亚乱色一区二区三区

從2011年被發(fā)現(xiàn)至今，Dridex銀行木馬已經(jīng)成為最流行的銀行木馬家族。光在2015年，Dridex造成的損失估計(jì)就超過(guò)了4000萬(wàn)美元，與其他銀行木馬家族不同，因?yàn)樗偸窃诓粩嘌葑儾⒆屍渥兊酶訌?fù)雜。Dridex是一種針對(duì)Windows平臺(tái)的復(fù)雜銀行惡意軟件，可通過(guò)發(fā)起垃圾郵件攻擊活動(dòng)來(lái)感染電腦，并竊取銀行憑證及其他個(gè)人信息，以便實(shí)施欺詐性轉(zhuǎn)賬。在過(guò)去十年中，該惡意軟件進(jìn)行了系統(tǒng)性更新和開(kāi)發(fā)。最新Dridex已更新并通過(guò)多個(gè)垃圾郵件攻擊活動(dòng)進(jìn)行了廣泛傳播，被用于下載有針對(duì)性的勒索軟件。

創(chuàng)新互聯(lián)公司是專業(yè)的蓬江網(wǎng)站建設(shè)公司，蓬江接單;提供網(wǎng)站制作、成都網(wǎng)站建設(shè),網(wǎng)頁(yè)設(shè)計(jì),網(wǎng)站設(shè)計(jì),建網(wǎng)站,PHP網(wǎng)站建設(shè)等專業(yè)做網(wǎng)站服務(wù);采用PHP框架,可快速的進(jìn)行蓬江網(wǎng)站開(kāi)發(fā)網(wǎng)頁(yè)制作和功能擴(kuò)展;專業(yè)做搜索引擎喜愛(ài)的網(wǎng)站,專業(yè)的做網(wǎng)站團(tuán)隊(duì),希望更多企業(yè)前來(lái)合作!

今年銀行木馬Dridex首次躋身十大惡意軟件排行榜，成為第三大常見(jiàn)的惡意軟件。EMOTET銀行木馬自2014年以來(lái)，一直活躍至今，目前已經(jīng)成為最具有影響力的惡意軟件家族之一。該木馬通常是通過(guò)垃圾郵件傳播，已經(jīng)迭代出很多個(gè)版本。在早期通過(guò)惡意的JavaScript腳本進(jìn)行投遞，后來(lái)轉(zhuǎn)為通過(guò)含有惡意宏代碼的文檔下載進(jìn)行傳播。亞信安全曾多次對(duì)該木馬進(jìn)行過(guò)披露，截至當(dāng)前，該木馬的基礎(chǔ)設(shè)施仍然在不斷更新。

在此文中，我們將解釋我們的威脅檢測(cè)分析師如何使用從全球互聯(lián)網(wǎng)基礎(chǔ)設(shè)施捕獲的netflow數(shù)據(jù)來(lái)發(fā)現(xiàn)之前未被研究的Dridex運(yùn)營(yíng)商使用的分層網(wǎng)絡(luò)方法，以及它與Emotet基礎(chǔ)設(shè)施的意外重疊。

威脅檢測(cè)分析師發(fā)現(xiàn)，Emotet C2服務(wù)器正在通過(guò)端口TCP / 38400與IP 179.43.147.77重復(fù)通信。這是迄今為止我們所看到的Emotet網(wǎng)絡(luò)基礎(chǔ)架構(gòu)行為中的一個(gè)異常。

針對(duì)這種異常，我們的威脅檢測(cè)小組進(jìn)行了調(diào)查，以試圖確定179.43.147.77的目的和行為。

在對(duì)全球互聯(lián)網(wǎng)基礎(chǔ)設(shè)施中收集的網(wǎng)絡(luò)流進(jìn)行長(zhǎng)期監(jiān)視和分析期間，我們觀察到多個(gè)惡意軟件家族通過(guò)同一端口TCP / 38400與IP通信。我們的觀察結(jié)果如下圖所示：

在數(shù)量上，我們觀察到通過(guò)TCP/38400與179.43.147.77對(duì)話的數(shù)量：

• 10個(gè)Emotet時(shí)代2個(gè)C2;
• 4個(gè)Emotet時(shí)代3個(gè)C2;
• 7個(gè)Dridex C2。

對(duì)可用開(kāi)源情報(bào)(OSINT)的分析顯示，TA505組織在2019-06-20已使用179.43.147.77來(lái)傳播惡意軟件FlawedAmmyy1 2 3。該IP所屬的托管公司，Private Layer Inc，是一家離岸托管公司，被觀察到在過(guò)去被威脅行動(dòng)者利用。

179.43.147.77的目的是什么?它仍然由TA505管理嗎?

探索與TA505的連接

鑒于FlawedAmmyy于2019.6.2發(fā)布于179.43.147.77，已對(duì)TA505是否仍在管理該服務(wù)器進(jìn)行了調(diào)查。由于Shodan每月至少執(zhí)行一次互聯(lián)網(wǎng)范圍的掃描，因此根據(jù)歷史掃描數(shù)據(jù)在當(dāng)前時(shí)間范圍2019.6.2-20197.20中設(shè)置了當(dāng)前使用的SSH密鑰：

如果將新的SSH密鑰設(shè)置為2019.6.2的情況，則表明傳播TA505綁定的FlawedAmmy示例的同一操作員也在操作通過(guò)端口38400連接的命令和控制服務(wù)器的管理。

Dridex已由TA5055傳播和使用，從而加強(qiáng)了連接。

與此理論相反的是，TA505與Emotet組沒(méi)有已知的聯(lián)系，這就引出了一個(gè)問(wèn)題，即他們?yōu)槭裁匆芾鞥motet C2服務(wù)器。

此外，除了Dridex之外，TA505使用的惡意軟件家族都沒(méi)有與179.43.147.77進(jìn)行過(guò)通信，從而使連接更加脆弱。

根據(jù)這些觀察結(jié)果，我們認(rèn)為179.43.147.77的運(yùn)算符在FlawedAmmy發(fā)行后發(fā)生了變化。

179.43.147.77的用例

179.43.147.77背后用例的核心是知道何時(shí)連接服務(wù)器變?yōu)榛顒?dòng)C2服務(wù)器。如果它們最初在一段時(shí)間內(nèi)連接到179.43.147.77，然后停止通信并變?yōu)榛顒?dòng)的C2節(jié)點(diǎn)，則可能表明179.43.147.77的運(yùn)營(yíng)商移交或出售了對(duì)這些服務(wù)器的訪問(wèn)權(quán)。

另一方面，如果在服務(wù)器處于活動(dòng)的C2時(shí)服務(wù)器與179.43.147.77之間的通信正在進(jìn)行，則表明179.43.147.77與Emotet和Dridex背后的組織有更緊密的聯(lián)系。

我們不認(rèn)為179.43.147.77背后的操作員與Emotet和Dridex背后的組織巧合地入侵了同一服務(wù)器，因?yàn)橹赶?79.43.147.77的接入連接幾乎完全是Emotet和Dridex C2服務(wù)器，也就是說(shuō)，受控服務(wù)器中的非隨機(jī)性。

Dridex C2活動(dòng)時(shí)間表

時(shí)間線顯示，大多數(shù)IP在與179.43.147.77通信時(shí)都充當(dāng)C2，這降低了操作員179.43.147.77僅將受管服務(wù)器的訪問(wèn)切換到其他參與者的可能性。

Emotet Epoch 2活動(dòng)時(shí)間表

對(duì)Emotet Epoch 2 C2進(jìn)行相同的分析顯示出一些不確定的行為：

似乎他們?cè)诔蔀镋motet C2之后或同時(shí)開(kāi)始主動(dòng)與179.43.147.77通信，由于用于時(shí)間軸分析的可用netflow捕獲太少，因此從圖中排除了五個(gè)監(jiān)測(cè)點(diǎn)參差不齊的C2。NetFlow是一種網(wǎng)絡(luò)監(jiān)測(cè)功能，可以收集進(jìn)入及離開(kāi)網(wǎng)絡(luò)界面的IP封包的數(shù)量及資訊，最早由思科公司研發(fā)，應(yīng)用在路由器及交換器等產(chǎn)品上。

總結(jié)

威脅檢測(cè)分析師得出的結(jié)論是，從2019年12月下旬開(kāi)始，179.43.147.77的運(yùn)營(yíng)商與目前使用Dridex惡意軟件的組織有密切聯(lián)系，并且一直持續(xù)到今天。攻擊者面臨著基礎(chǔ)架構(gòu)的崩潰，并且似乎需要持久性和集中控制。

本文翻譯自：https://hello.global.ntt/en-us/insights/blog/dridex-and-emotet-infrastructure-overlaps

當(dāng)前文章：Dridex和Emotet基礎(chǔ)架構(gòu)的相似之處
文章路徑：http://m.5511xx.com/article/dhioosj.html