僵尸永远不死,Satori也拒绝凋零

两天前,2018-06-14,我们注意到 Satori 的作者开始扫描收集 uc-httpd 1.0.0 设备的IP地址列表。这或许是为了针对4月公开的脆弱性 XiongMai uc-httpd 1.0.0 (CVE-2018-10088) 在做准备。这些扫描活动导致了近期在 80 和 8000 端口上的扫描流量大涨。 3小时前,就在我们撰写本篇文章的同时,Satori 作者又发布了一个更新版本。这个更新是个蠕虫,针对 D-Link DSL-2750B 设备,对应的漏洞利用在5月25日刚刚

RSA大会 '2018,360Netlab的威胁情报服务

RSA大会'2018 即将在4月16日至19日期间在美国旧金山Moscone中心举办。在今年的这次大会上,360Netlab将首次集中展示威胁情报服务能力。您可以在 这里 观看介绍视频,记得可能需要手动调到1080P。您也可以试用在线系统,包括 DDoSMon 和ScanMon 。 DDoSMon、ScanMon和DNSMon,是360Netlab本次展示威胁情报服务能力的三个主要组成部分。三者分别提供拒绝服务、网络扫描、域名异常的监控能力,应对全球网络流量实时处理。 DNSMon是2018年新推出的能力。在DNSMon里面,我们实时的分析海量的DNS流量,并对流量中的各种异常和关联关系予以分析,从而发现大网流行的恶意代码行为。另一方面,DNSMon将我们指向未知威胁发现领域,我们期待在这个领域内作出更多成果。DNSMon相关已经公开的成功案例,包括之前公布的“偷电”系列分析文章。 ScanMon早先在2016年ISC和2017 RSAC大会上两次公布。

Memcache UDP 反射放大攻击 II: 最近的数据分析

我们在之前的 文章 中已经提及,Memcache DRDoS 自从被360 0kee team首次公开批露以来,在过去的9个月中在网络上都不活跃。但是最近十天以来,Memcache DRDoS 在现网中的攻击越来越频繁,所制造的攻击流量也在不断刷新,当前最新的公开记录已经到了 1.7Tbps 。 关于这种攻击方式,目前还有很多问题等待回答。例如,到底已经有多少受害者、攻击中所使用的反射点到底有多少、实际发生的反射放大倍数是多少,等等。通过回答这些问题,我们可以充分描述当前总体态势,有助于安全社区理解这种新的DDoS攻击方式。 为此我们在 Memcache DRDoS 在 DDoSMon 上建立了一个

Memcache UDP反射放大攻击技术分析

本篇技术blog,由360信息安全部0kee Team、360网络安全研究院、360-CERT共同发布。 Memcache UDP 反射放大攻击(以下简称 Memcache DRDoS)在最近的一周里吸引了安全社区的较多注意。以下介绍我们对该类型攻击观察到的情况。 在PoC 2017 会议上的原始报告 Memcache DRDoS,由360信息安全部0kee Team在2017-06 附近首先发现,并于 2017-11 在 PoC 2017 会议上做了公开报告。会议报告在 这里,其中详细介绍了攻击的原理和潜在危害。 在这份文档中,作者指出这种攻击的特点: memcache

CLDAP反射放大攻击超过SSDP和CharGen成为第三大反射型DDoS攻击

作者:Xu Yang,kenshin 利用DDoSMon.net,我们实时并持续的监控全球DDoS攻击相关事件。长期以来,DDoS攻击的反射放大细分类型中,DNS、NTP、CharGen、SSDP是最经常被滥用的服务,过去一年中的排位依次是第1、2、3、4位。 近期我们注意到, 基于CLDAP的 反射放大攻击(以下称为CLDAP攻击)已经超过SSDP和CharGEN成为第三大反射型DDoS攻击。CLDAP攻击在过去365天和90天在反射放大类DDoS攻击中占据比例,对比如下图: 数据来源:DDoSMon。网站上Insight页面的内容可以覆盖本次blog中的大部分数据。 CLDAP攻击首次出现是在去年10月底,到现在恰好一年。本篇blog中,我们对CLDAP攻击上升情况做一个回顾: 在过去的一年中,我们累积观察到304,