威胁者在为期两天的网络钓鱼攻击活动中冒充美国交通部(USDOT),他们通过使用多种策略,为了使攻击活动看起来更合法,他们还创建了虚假的联邦网站的域名, 来逃避安全检测。
此次攻击活动主要以工程、能源和建筑等行业的公司为攻击目标,这些公司可能会与美国交通部合作,并向潜在的受害者发送诈骗电子邮件,其中他们被告知,美国交通部正邀请他们通过点击一个带有 “点击这里投标 “字样的巨大的蓝色按钮来提交一个部门项目的投标。
对于熟悉政府网站的人来说,政府网站通常会有一个.gov的后缀,从这方面来看,这个域名会显得很可疑。然而,对于习惯于快速浏览的人来说,这个域名看起来可能像是一个正规的网站。
欺骗受害者
如果人们点击链接,他们会被引导到transportation.gov.bidprocure.secure.akjackpot[.com]网站,有’transportation’、’gov’和’secure’等看起来很正规的子域名。然而,该网站的基础域名akjackpot[.]com实际上是在2019年注册的,该基础域名上可能运行的是一个马来西亚人的在线赌场网站。要么该网站已经被劫持了,要么网站的所有者本身就是利用它来冒充美国联邦贸易委员会的钓鱼者。
一旦进入了假的投标网站,用户就会被指示点击一个 “投标 “按钮,并用他们的电子邮件提供商进行登录。它还指示他们如果有任何问题,可以与另一个假域名mike.reynolds@transportationgov[.]us的所有者进行联系。
一旦受害者关闭了指示,他们就会被引导到一个与真实的美国交通部网站非常相像的网站上,这个网站其实是攻击者将政府网站的HTML和CSS复制到他们的主机上做出来的。
在诈骗完成之后,威胁者还复制和粘贴了一个关于如何验证美国政府网站真实性的警告,这样可以提醒受害者,他们被骗了,因为他们意识到这个钓鱼网站的域名是以.com结尾,而不是.gov或.mil。
一旦进入这个假冒的美国交通部网站,受害者就会被邀请点击一个 “点击这里投标 “按钮,还会出现一个带有微软标志和 “用你的电子邮件提供商登录 “指示的凭证收集表格。第一次尝试输入凭证时会遇到ReCAPTCHA验证,合法网站一般会将其作为网站的安全组件。然而,攻击者在这时就已经获取了凭证。
如果受害者第二次尝试输入证书,就会出现一个错误信息,然后他们会被引导到真正的美国交通部网站,钓鱼者经常将这一步作为最后一步来进行执行。
躲避设备的检测
虽然攻击者在他们的攻击活动中没有使用任何新的网络钓鱼技巧,但正是这种新模式的战术组合使他们能够绕过安全的电子邮件网关来进行攻击。
创建一个新的域名,巧妙的利用当前的事件,冒充一个著名的机构,就可以发起一次凭证窃取攻击,这些钓鱼攻击者想出了一个与所有已知攻击刚好不同的攻击方式,很好的躲避了标准的检测方法。使用新创建的域名可以使违法的钓鱼邮件通过SPF、DKIM和DMARC等标准的电子邮件认证。
由于它们的攻击域名等都是全新的,它们以前也从未出现过,也没有出现在传统的反钓鱼工具所参考的威胁情报中。并且这些网站看起来没有恶意,人们很容易上当。
为什么会有漏洞?
漏洞的原因一般有以下几个方面.1 编程人员的素质或技术问题而留下的隐患.2 软件在设计之处考虑到将来维护而设置的后门.就象RPC传输协议中存在不检查数据长度而引发的缓冲区溢出漏洞.如果被不法分子成功利用此漏洞将获得超级管理员权限.可以在系统任意添删文件和执行任意代码.3 象2003年流行的蠕虫王病毒利用的就是微软系统的漏洞.从最底层发起攻击.IIS服务存在匿名登陆的错误.病毒和木马对黑客来说一向都是交叉使用.分不开的.利用木马也就是后门程序来接受来自主攻端的指令.再运行自行写好的特定程序.也就是病毒来影响被攻击的用户.
Explorer.EXE是什么病毒?
Windows 资源管理器,可以说是 Windows 图形界面外壳程序,它是一个有用的系统进程。 注意它的正常路径是 C:\Windows 目录,否则可能是 或 .b@mm 病毒。 也有可能是和.b@mm病毒。 该病毒通过email邮件传播,当你打开病毒发送的附件时,即被感染。 该病毒会在受害者机器上建立SMTP服务。 该病毒允许攻击者访问你的计算机、窃取密码和个人数据。 系统进程: 是后台程序: 否使用网络: 是硬件相关: 否常见错误: 未知N/A内存使用: 未知N/A安全等级 (0-5): 0间谍软件: 否广告软件: 否病毒: 否木马: 否
怎么样管理服务器(网吧)?
第一种方法需要安装HLserver4108,然后再升级到最新版,再安装CS1.5最新版,最后设置一下基本参数就行了。 第二种方法很简单,就是直接使用CS1.5提供的,这是最方便的办法,然后将以上建立一个快捷方式,在命令行里输入下面一行(注意空格):D \Hlserver\ -game cstrike -port maXPlayers 28map de_dust2 -nomastersv_lan 1“D \Hlserver\” 你安装hlserver的目录“-game cstrike” 指定运行游戏为CS“-port ” 指定游戏连接端口为“ maxplayers 28” 游戏最大人数28人“ map de_dust2” 指定开始地图为de_dust2“-nomaster” 服务器不上WON认证“ sv_lan 1” 指定其为一个LAN ServerCS服务器人数设到最大值32,但如果满了,就会掉帧,所以可以根据你机器配置来设置人数,一台电脑可以设两个以上的服务器,只要把端口分开就可以了。 电影服务 Web服务器篇为了最大化地利用网吧资源,顺便把电影服务器设为Web服务器,建议配置为 P4 1.7GHz、256MB内存、200GB以上硬盘(可以买两个酷鱼五120GB的),系统建议装 windows 2000 Server版,如果装个人版的话,IIS只支持10个人浏览,如果装高级服务器版的话,会多安装很多无用的东西,所以服务器版的默认配置是比较适合100台以上网吧的。 240GB硬盘就已经可以放几百部RM和AVI格式的电影了,做了Web服务器,FTP服务器每天有4万多IP登录服务器,服务器也能运行得很好。 电影服务器的建立方法2000漏洞较多,所以装好之后,需要做以下几件事情:1、打补丁微软的作风就是三天一小补,五天一大补,漏洞太多,补一点就好一点,使用“开始→Windows Update”然后把所有的补丁都装进去吧。 2、删除默认共享(1)删除IPC$共享Windows 2000的缺省安装很容易被攻击者取得账号列表,即使安装了最新的Service pack也是如此。 在Windows 2000中有一个缺省共享IPC$,并且还有诸如admin$ C$ D$等等,而IPC$允许匿名用户(即未经登录的用户)访问,利用这个缺省共享可以取得用户列表。 要想防范这些,可将在“管理工具→本地安全策略→安全设置→本地策略→安全选项”中的“对匿名连接的额外限制”修改为“不允许枚举SAM账号和共享”。 就可以防止大部分此类连接,但是还没完,如果使用NetHacker只要使用一个存在的账号就又可以顺利地取得所有的账号名称。 所以,我们还需要另一种方法做后盾:创建一个文件,内容就是一行命令“net share ipc$ delete”不包括引号;在Windows的计划任务中增加一项任务,执行以上的,时间安排为“计算机启动时执行”,或者把这个文件放到“开始→程序→启动”中让它一启动就删除IPC$共享;重新启动服务器。 (2)删除admin$共享修改注册表HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters增加AutoShareWks子键(REG_DWord),键值为0。 (3)清除默认磁盘共享 C$、D$等修改注册表HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters,增加AutoShareServer子键(REG_DWORD),键值为0。 3、修改默认用户名在“管理工具→本地安全策略→安全设置→本地策略→安全选项”的“重命名来宾账户”将“guest”改成“abc”或者其他名字,下面机器登录名字设为名字,然后再把“重命名系统管理员账户”也改一下。 有一次我扫描了一下我的IP段,就发现有多家网吧服务器的管理员名称是默认的Administrator,并且是简单密码。 两个服务器已经很稳定,隔一两天重启一下服务器。
发表评论