網路安全公司proofpoint的研究人員matthew mesa(馬修·梅薩)發現一款新勒索軟體「gibon」通過惡意垃圾郵件(malspam)感染目標。這款勒索軟體自今年5月就已在暗網上架,售價500美元(約合人民幣3319元)的****。
mesa之所以將這款軟體命名為「gibon」,正是因為有兩處出現了「gibon」。專家首先在這款惡意軟體的user agent字串中注意到「gibon」,其用來與命令與控**務器(c&c server)通訊。此外,管理面板(admin panel)也出現了「gibon」字串。
gibon勒索軟體初次執行時會連線到c&c伺服器,並傳送包含時間戳、windows版本和「註冊」字串的base64編碼字串註冊新的受害者。伺服器的響應訊息中同樣包含乙個採用base64編碼的字串,gibon會將其用作贖金票據。這種設定允許gibon的運營團隊在執行中更新贖金,而不必編譯新的可執行檔案。c&c伺服器將會返回包含base64編碼字串的響應。 一旦被感染裝置與c&c伺服器註冊,這台裝置將在本地生成加密金鑰,並將其作為base64編碼字串傳送至這台c&c伺服器。這款惡意軟體將使用該金鑰加密目標裝置上的所有的檔案,並在加密檔案的名稱附加.encrypt副檔名。
網路安全編輯lawrence abrams(勞倫斯·艾布拉姆斯)表示,由於受害者已被註冊,金鑰也已傳輸至c&c伺服器,這款惡意軟體將開始加密目標裝置。gibon加密的同時還會將目標瞄向非windows資料夾內的所有檔案。gibon在加密過程中定期連線到c&c伺服器,攻擊者會繼續對伺服器執行ping操作,以確認加密是否仍在進行中。
這款惡意軟體會在包含加密檔案的每個檔案中釋放勒索資訊,此外還會生成名為「read_me_now.txt」的勒索資訊,其內容如下:一旦完成檔案加密,gibon將會向c&c伺服器傳送「finish」字串、時間戳、windows版本和加密的檔案數量。所幸的是,這款惡意軟體加密的檔案可通過gibondecrypter
ARP DNS DHCP攻擊方式
arp請求 pc a需要其預設閘道器 r1 的mac位址 因此,它將傳送arp請求以獲取192.168.10.1的mac位址。arp響應 r1用pc a的ip和mac位址更新其arp快取。r1向pc a傳送arp答覆,然後pc a用r1的ip和mac位址更新其arp快取。欺詐性arp答覆 在圖中,威...
堆的攻擊方式
堆溢位是指程式向某個堆塊中寫入的位元組數超過了堆塊本身可使用的位元組數 之所以是可使用而不是使用者申請的位元組數,是因為堆管理器會對使用者所申請的位元組數進行調整,這也導致可利用的位元組數都不小於使用者申請的位元組數 因而導致了資料溢位,並覆蓋到物理相鄰的高位址的下乙個堆塊。calloc mallo...
Ddos攻擊方式分類
分布式拒絕服務是 利用分布式的客戶端,向服務端傳送大量看似合法的請求,從而消耗大量資源或者長時間占用資源不釋放。攻擊網路頻寬自願的攻擊方式 1 直接攻擊 1.1 icmp igmp 洪水攻擊 1.2 udp洪水攻擊 2 反射和方法攻擊 2.1 ack反射攻擊 2.2 dns放大攻擊 2.3 ntp放...