GPON 漏洞的在野利用(三)——Mettle、Hajime、Mirai、Omni、Imgay、TheMoon

本文由 Hui Wang、LIU Ya、RootKiter、yegenshen 共同撰写。 [更新 2018-05-21 17:30] 这场GPON的聚会看起来永远不会结束了,现在 TheMoon 僵尸网络家族也开始加入了。文中增加了相关的描述。特别值得说明的,TheMoon僵尸网络所使用的攻击漏洞此前并没有批露过,看起来像是个 0day,我们选择不公开攻击载荷的详细内容。另外我们选择了两个版本的 GPON 家用路由器,TheMoon使用的攻击载荷均能成功运行。 我们在之前的系列文章 一 和 二 里提及,在本次GPON漏洞(CVE-2018-10561,

ADB.Miner:恶意代码正在利用开放了ADB 接口的安卓设备挖矿

作者:Hui Wang, RootKiter, twitter/360Netlab 大约24小时前,从 2018-02-03 15:00 开始,一组恶意代码开始蠕虫式快速传播,我们分析了这个安全威胁,一些快速的结果如下: 传播时间:最早的感染时间可以回溯到 1月31日附近。当前这波蠕虫式感染从 2018-02-03 下午 15:00 附近开始被我们的系统检测到,目前仍在持续增长。 感染端口:5555,是安卓设备上 adb 调试接口的工作端口,这个端口正常应该被关闭,但未知原因导致部分设备错误的打开了该端口 蠕虫式感染:

SYN DRDoS攻击突然密集出现

    “基于TCP SYN的反射DDoS”(TCP SYN Distributed Reflection Denial of Service)的攻击早在2001年就被研究者发现,但是在真实的网络环境中,包括我们的DDoS网络监测系统中并不常见。但自从5月月份以来,这种攻击突然密集出现,如下图所示。 图1:DDoS网络监测系统每月SYN DRDoS统计 扫描检测系统检测到异常     5月9日17点之后的2个多小时内我们的扫描检测系统突然开始收到了多出以往几个数量级的TCP SYN包,如图2所示: 图2:TCP SYN包数量异常