GPON 漏洞的在野利用(三)——Mettle、Hajime、Mirai、Omni、Imgay

本文由 Hui Wang、LIU Ya、RootKiter、yegenshen 共同撰写。 我们在之前的系列文章 一 和 二 里提及,在本次GPON漏洞(CVE-2018-10561,CVE-2018-10562)公布以来,10天内已经有至少5个僵尸网络家族在积极利用该漏洞构建其僵尸军团,包括 mettle、muhstik、mirai、hajime、satori,等等。这些各路僵尸网络一拥而上,争抢地盘,为 IoT 僵尸网络研究者们提供了一个绝佳的近距离观察机会。 在我们的观察中,一个有趣的地方是各僵尸网络的漏洞利用代码均只能影响一小部分(估计大约

ADB.Miner:恶意代码正在利用开放了ADB 接口的安卓设备挖矿

作者:Hui Wang, RootKiter, twitter/360Netlab 大约24小时前,从 2018-02-03 15:00 开始,一组恶意代码开始蠕虫式快速传播,我们分析了这个安全威胁,一些快速的结果如下: 传播时间:最早的感染时间可以回溯到 1月31日附近。当前这波蠕虫式感染从 2018-02-03 下午 15:00 附近开始被我们的系统检测到,目前仍在持续增长。 感染端口:5555,是安卓设备上 adb 调试接口的工作端口,这个端口正常应该被关闭,但未知原因导致部分设备错误的打开了该端口 蠕虫式感染:

SYN DRDoS攻击突然密集出现

    “基于TCP SYN的反射DDoS”(TCP SYN Distributed Reflection Denial of Service)的攻击早在2001年就被研究者发现,但是在真实的网络环境中,包括我们的DDoS网络监测系统中并不常见。但自从5月月份以来,这种攻击突然密集出现,如下图所示。 图1:DDoS网络监测系统每月SYN DRDoS统计 扫描检测系统检测到异常     5月9日17点之后的2个多小时内我们的扫描检测系统突然开始收到了多出以往几个数量级的TCP SYN包,如图2所示: 图2:TCP SYN包数量异常