DNS - 360 Netlab Blog - Network Security Research Lab at 360

DNS

A collection of 6 posts

新威胁：使用DNS Tunnel技术的Linux后门B1txor20正在通过Log4j漏洞传播

背景自从Log4J漏洞被曝光后，正所谓"忽如一夜漏洞来，大黑小灰笑开怀”。无数黑产团伙摩拳擦掌加入了这个“狂欢派对”，其中既有许多业界非常熟悉的恶意软件家族，同时也有一些新兴势力想趁着这股东风在黑灰产上分一杯羹。360Netlab作为专注于蜜罐和Botnet检测跟踪的团队，我们自该漏洞被公开后就一直关注它会被哪些僵尸网络利用，期间我们看到了Elknot，Gafgyt，Mirai等老朋友的从不缺席，也见证了一些新朋友的粉墨登场。 2022年2月9日，360Netlab的蜜罐系统捕获了一个未知的ELF文件通过Log4J漏洞传播，此文件在运行时产生的网络流量引发了疑似DNS Tunnel的告警，这引起了我们的兴趣。经过分析，我们确定是一个全新的僵尸网络家族，基于其传播时使用的文件名"b1t"，XOR加密算法，以及RC4算法秘钥长度为20字节，它被我们命名为B1txor20。简单来说，B1txor20是一个针对Linux平台的后门木马，它利用DNS Tunnel技术构建C2通信信道，除了传统的后门功能，B1txor20还有开启Socket5代理，远程下载安装Rootkit，反

The Pitfall of Threat Intelligence Whitelisting: Specter Botnet is 'taking over' Top Legit DNS Domains By Using ClouDNS Service

Abstract In order to reduce the possible impact of false positives, it is pretty common practice for security industry to whitelist the top Alexa domains such as www.google.com, www.apple.com, www.qq.com, www.alipay.com. And we have seen various machine learning detection models that bypass

白名单之殇：Specter僵尸网络滥用ClouDNS服务，github.com无辜躺枪

摘要威胁情报的应用，始终存在着“漏报”和“误报”的平衡，为了减少可能的误报带来的业务影响，你的威胁情报白名单中是否静静的躺着 www.apple.com、www.qq.com、www.alipay.com 这样的流行互联网业务域名呢？你的机器学习检测模型，依照历史流量，是否会自动对 .qq.com、.alipay.com 这样的流量行为增加白权重呢？但安全是对抗，白帽子想“判黑”，黑客想“洗白”。我们看到的白，不一定是真的白，可能只是黑客想让我们以为的白。我们BotnetMon最近的跟踪发现，Specter僵尸网络家族的样本，会使用api.github.com这种域名作为CC域名来通信，通过“可定制化”的DNS服务，将“白域名”引导到黑IP上来实现自己恶意指令通信。这种“过白”手法，在流量检测的场景下，

七年一剑，360 DNS威胁分析平台

七年一剑，360 DNS威胁分析平台

360Netlab (360 网络安全研究院) 自2014年成立以来，大网安全分析相关技术一直是我们的核心研究方向，我们是最早在国内提出从数据维度做安全的团队，并将大数据技术、AI技术和威胁情报应用于大网安全研究工作中。过去7年多的安全研究，我们取得了非常多耀眼的成果：我们是 360 情报云最主要的情报供应团队之一，建立了国内首个也是最大的公开PassiveDNS系统，以及多个业内领先的Whois、证书、IP、样本等基础数据系统。我们诸多研究成果被国内外媒体转载报道，并多次在国际顶级安全会议发表演讲。我们在全球范围内率先披露了2位数以上有影响力的僵尸网络，并获得 FBI 的致谢，发现并命名的Satori僵尸网络的作者被美国国土安全局抓获并判刑，还有诸多不方便公开的实例不一而足。凡是过往，皆为序章。虽然过去7年我们一直以安全研究的形象出现，但这两年我们开始主动尝试产品化的探索。我们这么做不是为了KPI，而是渴望将我们在安全研究中积累的技术优势能够实实在在的应用到企业网络中，在更大维度内为客户网络安全直接贡献我们的力量，为客户的企业网络

Fbot，一个Satori相关的、基于区块链DNS的蠕虫

从2018-09-13 11:30 UTC开始，我们首次注意到一个新的蠕虫正在清理 com.ufo.miner。在完成了清理动作后，该蠕虫会等待来自C2（musl.lib，66.42.57.45:7000， Singapore/SG）的下一步指令。我们将该蠕虫命名为fbot，主要是因为该蠕虫的主要执行模块使用了这个名字。该C2域名的解析，需要通过EmerDNS，一个emercoin.com旗下的区块链DNS完成。 com.ufo.miner 与我们之前多次报告的 ADB.Miner 类似，利用adb安卓调试接口传播，并挖矿。ADB.Miner 是我们今年二月首次报告的，自那以后，类似的其他僵尸网络已经长期传播，感染了包括 Amazon FireTV 在内的多种设备。最后，新的蠕虫Fbot与臭名昭著的

从DNS和sinkhole视角看WannaCry蠕虫

编注：本文来源自《中国计算机学会通讯》2017年第7期《WannaCry勒索蠕虫专刊》，作者是360网络安全研究院李丰沛。在本博客发布时，文章的字句和排版略有调整，以适应本技术博客。我们将该文章发布在本技术博客的动机之一，是因为这篇文章中对WannaCry的感染情况做了一个定量分析，本技术博客的后续其他分析文章可以参考做一个基准。域名系统(Domain Name System, DNS)数据作为全网流量数据的一种采样方式，可以在大网尺度对域名做有效的度量和分析。我们利用DNS数据，在过去数年里对多个安全事件，包括Mirai等僵尸网络、DGA等恶意域名，以及黑色产业链条进行跟踪和分析。对于最近爆发的WannaCry蠕虫病毒，利用DNS数据进行分析，也是很有意义的。众所周知，WannaCry蠕虫病毒有一个开关域名，即www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com，该域名相关详细内容见《WannaCry勒索蠕虫专刊》其他文章。在蠕虫感染过程中，有效载荷通过445端口上的 MS17-010漏洞投递并成功启动后，会尝试访问特定域名的