CARBERP命令与控制服务器DNS攻陷

CARBERP命令与控制服务器又被攻陷

站在用户的角度思考问题,与客户深入沟通,找到文登网站设计与文登网站推广的解决方案,凭借多年的经验,让设计与互联网技术结合,创造个性化、用户体验好的作品,建站类型包括:网站设计、成都网站建设、企业官网、英文网站、手机端网站、网站推广、主机域名、网页空间、企业邮箱。业务覆盖文登地区。

CARBERP研究结果又再一次证明恶意软件作者更会隐藏自己和建立自己专用的秘密通讯管道。而且今天的机构们对处理这些问题是准备不足的,如同之前未侦测的泄漏了私密资料。

据称,Botnet从2010年年初就开始部署了,但直到去年九月前都避免被注意到。Malware Intelligence在2010年2月的报告指出新型CAB档案增加了专门用来盗取证书(“certificates”),密钥(“keys”)和银行凭证(“banking credentials”)的功能。

Trust Defender在去年10月报导CARBERP能够经由挂勾(“hooking”) Wininet.dll和USER32.DLL的输出函式表(“export table”)来控制网路流量。Seculert.com在今年2月初报导了如何生成专用的RC4密钥来加密窃取的资料。

不需要提高权限就可运作

CARBERP C&C服务器具备有可扩充功能的设计,可以入侵某一版本Windows上的多种应用程式。从第一次记录开始,CARBERP僵屍网路/傀儡网路 Botnet经由post /set/first.html传出了所有正在运行的程序(“processes”),然後透过post /set/plugs.html来要求套件(“Plug-ins)或是透过post /set/task.html来取得任务。

CARBERP还能够在使用者权限下运作,而不需要去更改注册表或系统档案。它利用了档案系统本身的功能去隐藏自己。CARBERP跟很多应用程式一样都会新增一个启动捷径,也可以假造网站,键盘侧录,并利用编码讯息来建立秘密通信管道。CARBERP可以经由找到联结不存在档案的程序而发现。

从C&C流量中的发现

一个CARBERP攻击的C&C服务器被置换成了只有登录连接但没有提示后续资讯交换的服务器。这个假CARBERP C&C服务器也没有使用IPv6地址,这可能是一个错误。跟解析IPv4位址的电脑比起来,绝大部分的受害者电脑都会尝试去解析IPv6位址。而且之後的HTTP连接也很少。从这一点看来,不完整的C&C资讯交换可能导致传送机密资讯的通讯被转送到其他地方,透过设定挡掉,或阻止传送。

为什么是这些目标?

我们联络了特定C&C服务器所监控的CARBERP感染电脑的用户,没有了那些可能已被破坏的详细资讯,为什么这些特定的受害者是这C&C的服务器的目标就只能是个猜想。

CARBERP命令与控制的相关叙述还有很多,请有兴趣的读者多多关注这方面的内容,我们也会继续关注的。

文章名称:CARBERP命令与控制服务器DNS攻陷
网站路径:http://www.gawzjz.com/qtweb2/news4/15154.html

网站建设、网络推广公司-创新互联,是专注品牌与效果的网站制作,网络营销seo公司;服务项目有等

广告

声明:本网站发布的内容(图片、视频和文字)以用户投稿、用户转载内容为主,如果涉及侵权请尽快告知,我们将会在第一时间删除。文章观点不代表本网站立场,如需处理请联系客服。电话:028-86922220;邮箱:631063699@qq.com。内容未经允许不得转载,或转载时需注明来源: 创新互联