辰东完美世界有声小说,我欲封天耳根小说零,雪鹰领主

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營銷解決方案

RedLeaves和PlugX惡意軟件是如何工作的？

國家網(wǎng)絡(luò)安全和通信集成中心了解到針對各個垂直行業(yè)的多種惡意軟件植入，包括RedLeaves和PlugX。這些惡意軟件是如何工作的?我們該如何應(yīng)對?

讓客戶滿意是我們工作的目標，不斷超越客戶的期望值來自于我們對這個行業(yè)的熱愛。我們立志把好的技術(shù)通過有效、簡單的方式提供給客戶，將通過不懈努力成為客戶在信息化領(lǐng)域值得信任、有價值的長期合作伙伴，公司提供的服務(wù)項目有：申請域名、雅安服務(wù)器托管、營銷軟件、網(wǎng)站建設(shè)、建寧網(wǎng)站維護、網(wǎng)站推廣。

Judith Myerson：攻擊者利用系統(tǒng)管理員的身份啟動多種惡意軟件，包括RedLeaves和PlugX。它們使用開放源代碼PowerSploit，這是一個PowerShell工具，以供滲透測試人員攻擊系統(tǒng)使用。

RedLeaves和PlugX/Sogu基于現(xiàn)有的惡意軟件代碼，但已被修改，以避開現(xiàn)有的防病毒簽名進行檢測。植入目標系統(tǒng)后，它們通過使用三個文件的動態(tài)鏈接庫(DLL)側(cè)面加載技術(shù)在系統(tǒng)上執(zhí)行：

一個非惡意可執(zhí)行文件開始安裝;
惡意的DLL加載程序;
將程序解碼到內(nèi)存中的編碼有效載荷文件。

RedLeaves惡意軟件通過TCP端口443與HTTPS連接到命令控制(C&C)服務(wù)器，并在調(diào)用API函數(shù)時跳過安全標記。數(shù)據(jù)沒有加密，也沒有SSL握手，常見于TCP端口443流量。它收集系統(tǒng)名稱、操作系統(tǒng)版本、系統(tǒng)正常運行時間、處理器規(guī)格和其他數(shù)據(jù)。

PlugX是一種復(fù)雜的遠程訪問工具(RAT)，用于通過TCP端口443、80,8080和53與PlugX C&C服務(wù)器通信。PlugX操作員可以在運行時使用Netstat、Keylog、Portmap、SQL和Telnet添加、刪除或更新PlugX插件。

為幫助企業(yè)檢測惡意軟件植入，國家網(wǎng)絡(luò)安全和通信集成中心指出可向安全公司尋求幫助。美國CERT呼吁警惕這些惡意軟件植入，并給出下列建議做法：

1.實施漏洞評估與補救計劃。

2.在傳輸和靜態(tài)時加密所有敏感數(shù)據(jù)。

3.啟動內(nèi)部威脅計劃。

4.查看記錄和警報數(shù)據(jù)。

5.對數(shù)據(jù)進行獨立的安全(不合規(guī))審核。

6.創(chuàng)建一個信息共享程序。

7.保護網(wǎng)絡(luò)和系統(tǒng)文件，以及時進行事件響應(yīng)，包括網(wǎng)絡(luò)圖、資產(chǎn)所有者、資產(chǎn)類型和最新事件計劃。

本文名稱：RedLeaves和PlugX惡意軟件是如何工作的？
文章分享：http://fisionsoft.com.cn/article/djpjsjd.html

新聞中心

其他資訊