游戏安全CC防御谨防-墨者安全-墨者盾
DDOS防御_CC防护_高防CDN服务器_【墨者安全】—墨者盾墨者盾—你的网站贴身保镖!

QQ:800185041
高防免费接入:400-0797-119

渠道合作:156 2527 6999

主页 > CC防火墙 > 游戏安全CC防御谨防

游戏安全CC防御谨防

小墨安全管家 2021-01-14 05:46 CC防火墙 89 ℃
DDoS防御

游戏安全谨防_如何防止_龙之谷高防

概述Proofpoint threat的研究人员最近分析了Ovidiy Stealer,这是一种往常没有文件证明的盗取凭证者,DDoS防御,要紧销往说俄语的地区。自2017年6月观看到原始样品以来,它正在不断开辟中,浮上了多个更新版本。越来越多的样本表明,犯罪分子正在积极采纳这种恶意软件。Ovidiy Stealer一具版本的价格为450-750卢布(约合7-13美元),那个价格包括一具预编译的可执行文件,它也被"加密"以阻挠分析和检测。值得注意的是,一些反病毒解决方案只检测到带有通用和启示式签名的Ovidiy窃取者。惟独启示式检测,AV解决方案才有大概检测到Ovidiy偷盗者的行为,DDoS高防,但在日志中用普通描述对其举行标记,所以监控警报的SOC分析员能够特别好地看到事件,但无法识别其重要性。但不能确定是迪安·斯蒂勒的网络警报。分配我们相信Ovidiy Stealer目前正在经过电子邮件传播,包括可执行附件、压缩可执行附件和可执行下载链接。它也有大概经过文件托管/破解/keygen网站传播,在那儿,它以其他软件或工具的姿态浮上。在一些案例中,我们观看到Ovidiy盗贼与"LiteBitcoin"安装程序捆绑在一起,进一步验证了这一讲法。图1:那个文件以"litebitcoin"的形式传播-qt.zip码"捆绑Ovidiy偷盗者和另一只老鼠,TektonIT的远程机械手系统。当软件安装时,两个恶意软件样本开始接触到命令和操纵(C&C)服务器ovidiystealer[.]ru和RMASYS[.]ru。【更新7/14/2017:自本文公布以来,本网站内容已被删除。网站本身也许仍然在线。] 图2:那个文件,传播为"Chase SoftWare 1.2乔拉.exe它也许是与Ovidiy捆绑在一起的各种金融机构的账户检查工具(即黑客工具)其他观看到的文件名如下所示,包括游戏诱饵、黑客工具诱饵、社交网络诱饵和其他:●躲藏.zip●VkHackTool.zip文件●更新_teamspeak3.5.1.exe●2017年坦克世界。txt.exe文件●掷骰子_机器人程序.exe●作弊v5.4.3 2017.exe●Vk.com网站布利特.exe分析在编写本文时,我们基本观看到1.0.1到1.0.5版本在野外分布。Ovidiy Stealer是用.NET编写的,大多数样本基本上用.NET Reactor或Confuser打包的。执行后,恶意软件将保留在其安装名目中,以及执行任务的位置。有些令人惊奇的是,那个恶意软件没有内置持久性机制,所以在重新启动时它将停止运行,但文件将保留在受害者计算机上。Ovidiy Stealer是模块化的,包含针对多个应用程序(要紧是扫瞄器)的功能,如下所示。FileZilla公司谷歌扫瞄器Kometa扫瞄器Amigo扫瞄器火炬扫瞄器Orbitum扫瞄器Opera扫瞄器因为一具单独的模块执行每个应用程序的目标,于是挑选的模块越少,恶意软件的有效负载越小。买家只需挑选一具模块,就能够挑选"谷歌Chrome"。图3:显示基于Chromium扫瞄器的目标名目的示例代码图4:显示寻找和窃取存储的FileZilla密码的代码的示例Ovidiy Stealer利用SSL/TLS与其命令和操纵服务器举行通信。它目前利用ovidiystealer[.]ru域举行其命令和操纵(C&C)通信;该域也是用于销售和销售恶意软件的域。初始C&C信标是一具报告以下详细信息的帖子:id:DiskID和ProcessorID版本:Ovidiy偷盗版cn:Windows用户名操作系统:操作系统和版本(如Windows 7)用户:注册的Ovidiy盗贼用户名图5:窃取者生成的初始签入信标的网络流量捕获为每台受感染机器提供的唯一ID是8个字符的DiskID和16个字符的ProcessorID的组合,组合成一具字符串。我们观看到,假如检查ProcessorID的函数导致一具空缓冲区,同时至少有一具示例包含该值的"Rofl",则使用了一具通常硬编码的ProcessorID"bfebff000206a7"。Ovidiy窃取者流量还包括硬编码用户代理"e9bc3bd76216afa560b5acaf5731a3"。这是短语"litehttp"的md5哈希值,它也是开源litehttp Bot的默认用户代理。[1]。我们相信Ovidiy作者重用了LiteHttpBot项目的开源代码。图6:代码重用显示:左侧是Ovidiy Stealer,右侧是LiteHttpBot假如窃取者可以从目标应用程序中找到密码,它将在初始签入后使用另一具请求报告目标应用程序的密码:id:DiskID和ProcessorID站点:已保存凭据的网站程序:目标应用程序登录:保存的应用程序用户名pass:保存的应用程序密码用户:注册的Ovidiy盗贼用户名图7:窃取者生成的凭证过滤信标的网络流量捕获销售和支持Ovidiy Stealer在ovidiystealer[.]ru上出售,这是一具有助于吸引潜在客户的域名,如上所述,也是C&C域名。该恶意软件拥有对web面板的支持、功能和登录访咨询权限。OvidiyStealer的治理面板允许botmaster查看受感染机器的统计信息、查看日志、构建更多存根和治理帐户。图8:OvidiyStealer网站登录页面。注意"我们答应免费卡萨"按钮。图9:Ovidiy Stealer治理面板从治理操纵台,botmaster能够查看和过滤受感染机器的日志。图10:查看Ovidiy Stealer客户端日志为了简化采购,Ovidiy Stealer背后的团队使用一种名为"RoboKassa"的服务来收取新存根的付款。RoboKassa在俄罗斯相当于PayPal,允许用户使用信用卡和其他类型的支付方式向卖家举行支付;在这种事情下,卖家是"Ovidiy"(图11)。图11:经过提供多种挑选的RoboKassa支付像很多其他有特别多挑选的市场一样,恶意软件市场是竞争性的,开辟者必须推销他们产品的优势和好处,DDoS防御,以吸引买家。为了关心推动销售,开辟团队包括某些模块的进度统计数据,以及今后公布恶意软件的其他打算。此外,DDoS防御,该网站还包括来自中意客户的"推举信",似乎是为了向其他潜在的犯罪分子证明,使用Ovidiy Stealer能够获利。图12:评审和开辟进度。用户ACE的评论翻译成英文:"我只需要盗贼的盗窃命令。我解释它是啥:我答应一具命令,劫持某个人的帐户。在我和他合作安装窃贼之后。仅此而已,一具订单我就能拿到300-500卢布。没有那个项目是不会的!感谢你!"那个项目的要紧作者是处理"瓶子",从OvidiyStealer网站的信息页面能够明显看出。此外,在至少一具样本的PDB字符串中观看到"瓶子"的名称:C: \Users\TheBottle\documents\visual studio 2017\Projects\ovidy\ovidy\obj\Debug\奥维迪.pdb图13:自称是Ovidiy Stealer的作者,"TheBottle",翻译成英文结论Ovidiy窃取者是一具新的密码窃取者,刚在一具月前就进入了犯罪行列。尽管它不是我们所见过的最先进的盗窃者,但市场营销和入门级的价格方案使它具有吸引力,很多潜在的犯罪分子都能够利用它。Ovidiy Stealer分量轻,操作简单,相对容易,允许简单高效的凭证过滤。一款轻巧、易用、高效的产品,加上频繁的更新和稳定的支持系统,使Ovidiy Stealer有大概成为更广泛的威胁。盗用的凭证仍然是个人和组织面临的一具要紧风险,因为重复使用密码能够使一次被盗登录危及多个帐户,而出售被盗帐户仍然是寻求快速获利的罪犯的一具有利可图的市场。Ovidiy Stealer强调了网络犯罪市场推动创新和新进入者的方式,以及对必须跟上对用户、数据和系统的最新威胁的组织的挑战。 妥协指标(IOC)国际奥委会IOC类型讲明ovidiystealer.ru域Ovidiy Stealer公司7DE66557DACBA228FAA294C357AD02C9F07EB2395229F209776BC9A09DFB4SHA256比特币-qt.zip码偷油贼3DDC17470FB86DCB4B16705EB78BCBCB24DCCE70545F512CE75C4A0747474EF52SHA256大通软件1.2乔拉.exe偷盗者5A44126EA4C5C9BBC3C44FEC034C3071B55FB6ABB10AD3299590A3B0E2A8FC7SHA256优步.exe偷油贼8D70877B4014A726E64D3338C454489628A78DCEE3E53152FF2223E3BDEC506SHA256偷油贼D469E7F2531EED4C3F418A71ACDD08DD167409047812AB78F5407730D077792SHA256偷油贼D5711AC689D2CAE77D19工厂19768870ADEC983E4CDB04F58D77828EF61EEC88SHA256偷油贼A18FCE17E57B34B8552AC8FF34A912A6788BE028988288D9B6752C7911A0936SHA256偷油贼邮编:F16483A306816803CBA35931893SHA256偷油贼255899d86d58a95499473046fcb6ad821ac500af8679635487d9003ba0f7b3ecSHA256偷油贼2a54eb17cc418da37fa3a45ceb840882bf1800909753e6431c2e3b0fcef4308aSHA256偷油贼84097d78bc73c9d8b4d7f4751c0dbb79da5d8883bd0fd27194cc21e05fdbca04


DDoS防御

当前位置:主页 > CC防火墙 > 游戏安全CC防御谨防

标签列表
DDoS防御
网站分类
X
 

QQ客服

400-0797-119