您现在所在位置:主页 > DDOS防御 >

cc防护_燕云盾太_快速接入

更新时间:2021-07-23

cc防护_燕云盾太_快速接入

我想谈谈一个新的POS恶意软件变种LogPOS。作为logrythm的一名研究人员,我觉得我有责任谈论任何带有"log"一词的恶意软件。具有讽刺意味的是,这个恶意软件并没有将被盗的信用卡数据存储在日志中,而是利用邮箱。正如其名称所暗示的,Mailslots是物理邮箱的虚拟表示。这是微软开发的一种机制,允许进程之间进行通信。一个进程可以写入一个mailslot,目的是让另一个进程以后可以从它读取。它们与命名管道相似,只是它们不是面向连接的,可以用于广播。恶意软件使用邮件槽并不是什么新鲜事,下列无法防御ddos,它们的存在有助于这种恶意软件在简单的POS恶意软件扫描程序的监视下飞行,这些扫描程序查找本地存储在POS终端上的纯文本信用卡信息。LogPOS首先创建一个名为\\.\mailslot\LogCC的mailslot。一旦邮件槽被创建,恶意软件会系统地搜索主机中不在白名单中的进程,如下所示。我猜这些都是POS终端上常见的流程(除了蒸汽.exe)不用于扫描信用卡数据。因此,它会立即消除一些过程,也许是为了提高效率,但更可能是不被发现的。windbg.exe文件logouni.exe任务管理器.exeskype.exe雷鸟.exe开发.exe蒸汽.exewinlogon.exewininit.exe文件csrss.exe文件短信服务.exe主进程火狐.exechrome.exe资源管理器psi.exe文件洋泾浜.exe系统一旦恶意软件发现上面列表中没有的进程,ccddos完美防御,它就会将外壳代码注入该进程。这个新的受损进程将重复搜索,什么是防御ccddos,寻找更多的新进程到pwn(同样,忽略白名单进程),并注入外壳代码,直到所有其他进程被劫持。在这一点上,恶意软件使用卢恩的算法来搜索信用卡号码。一旦找到信用卡,微信ddos防御算法,它就会被写入打开的邮箱,防御局域网ddos攻击,主程序将从中读取。一旦信用卡被读取,它就会通过GET请求发送到远程服务器。如果您想查看一下您的环境中是否被LogPOS击中,您可以在logrymethy NetMon中使用这个简单的搜索来显示来自POS恶意软件的任何出站通信:方法:获取和DestPort:(80或443)和HeaderRaw:(encoding=和t=和cc=以及process=和track=)图1:LogRhym NetMon中的LogPOS流量示例除此之外,您还可以利用LogRhy的高级智能引擎的白名单功能来检测POS终端的新出站连接。这条规则和十几条都是logrymethy零售网络犯罪模块的一部分。图2:POS:POS网络通信异常检测LinkedIn Twitter Facebook Reddit电子邮件