BCMUPnP_Hunter:疑似10万节点级别的僵尸网络正在滥用家用路由器发送垃圾邮件

本文由 Hui Wang、RootKiter共同撰写 360Netlab在2018年9月注意到一个新的僵尸网络。该僵尸网络的感染数量特别巨大,每个扫描波次中活跃的IP地址为10万左右,值得引起安全社区的警惕。 我们将该僵尸网络命名为 BCMUPnP_Hunter,主要是考虑基其感染目标特征。该僵尸网络有以下几个特点: 感染量特别巨大,每个波次中活跃的扫描IP均在10万左右; 感染目标单一,主要是以BroadCom UPnP为基础的路由器设备; 样本捕获难度大,在高交互蜜罐中需模拟多处设备环境后才能成功捕获; 自建代理网络(tcp-proxy),该代理网络由攻击者自行实现,可以利用 bot端 为跳板,代理访问互联网; 该代理网络目前主要访问Outlook,Hotmail,Yahoo! Mail 等知名邮件服务器,我们高度怀疑攻击者的意图主要是和发送垃圾邮件有关。

恶意代码团伙luoxk正在积极利用 CVE-2018-2893 传播

文章作者:Zhang Zaifeng, yegenshen, RootKiter, JiaYu 7月18日,Oracle在官方发布的例行补丁更新中修复了CVE-2018-2893,一个Oracle WebLogic Server 远程代码执行漏洞。一般认为漏洞影响严重且相关PoC已经公开,建议相关用户尽快进行评估升级。 三天后,2018-07-21 11:24:31 开始,我们注意到一个长久以来我们跟踪的恶意代码团伙正在积极利用该漏洞传播自身。由于该团伙经常使用 luoxkexp[.]com ,我们将其命名为 luoxk 。 该恶意代码团伙第一次触发我们的警铃是在一年前的2017年3月17日,我们的DNSMon系统,在该恶意代码团伙域名注册后的第二天根据算法自动判断该域名异常。 在那以后,我们持续观察了该恶意代码团伙的行为,包括: DDoS攻击:

HNS Botnet 最近活动更新

作者:Rootkiter, yegenshen HNS 僵尸网络(Hide and Seek) 是最初由 BitDefender 于今年 1月 报告 的一个IoT僵尸网络。在那份报告中研究人员指出,HNS 会利用CVE-2016-10401、其他漏洞以及Telnet弱口令投入恶意代码,有执行任意指令和盗取用户信息的恶意行为,传播方式类似蠕虫,感染规模在1月23日至1月24期间快速增长到超过32k。并且,HNS内部通过P2P 机制通信,这是我们所知继 hajime之后第二个利用P2P通信的IoT僵尸网络。 P2P类的僵尸网络很难被根除,HNS 僵尸网络也是如此。在过去的几个月中 HNS 僵尸网络一直在持续更新,我们看到其更新活动包括: