TheMoon : 一个僵尸网络的老皇历和新变种

TheMoon 是一个恶意代码家族的代号。早在2014年2月,该恶意代码家族就引起了安全研究人员的普遍关注。在当时,TheMoon是一个针对 Linksys 路由器的、有类似蠕虫式传播行为的僵尸网络。由于其感染传播能力较强,安全社区里的讨论较多。 2014~2017年期间,又陆续有各安全厂商对TheMoon恶意代码家族做了分析。报告反应了当时 TheMoon 家族的演化情况。 从2017年开始,我们也对 TheMoon 家族做了持续跟踪,并注意到以下的新发现: 感染阶段: TheMoon 集成了最近的一组漏洞利用代码,提高其感染能力; 运营阶段: TheMoon 的代理网络,由正向代理改为反向代理,避免被安全研究人员探测度量; 样本特征: TheMoon

安全威胁预警:Mirai变种Satori正在端口 37215 和 52869 上类似蠕虫式传播

作者:360网络安全研究院 [更新记录] - 2017-12-05 18:56:40 UTC,在我们的博客发出2个小时后,我们观察到C2服务器开始向bot发送停止扫描的指令,与此同时我们看到大网上这两个端口的流量开始下降。 - 文中提到的C2地址 95.211.123.69:7654 ,实际是 95.211.123.69:7645 的笔误。 在我们之前的blog中,我们提及有大约10万个来自阿根廷的独立扫描IP正在扫描端口2323和23,并且确定这是一个新的mirai变种。在过去的几天中,扫描行为变得愈发严重,更多的国家出现在我们的ScanMon平台上。仔细分析后我们看到了更多的部分,

安全威胁早期预警:新的mirai僵尸网络变种正在端口23和2323上积极传播

【2017-11-28 更新】 原文中提到的两个C2均已被安全社区sinkhole。 原文中的 admin/CentryL1nk 是 admin/CenturyL1nk 的笔误。 大约60个小时以前,从2017-11-22 11:00开始,360网络安全研究院注意到在端口2323和23上的扫描流量有一个暴涨现象。其中主要扫描者,大约10万个扫描IP地址位于阿根廷,同时360网络安全研究院也注意到大约有5千个IP地址来自国内。分析以后,目前比较确定这是一个新的mirai变种。 根因分析 在我们蜜罐中,最近有两个新的用户名密码被频繁使用到,分别是 admin/CentryL1nk 和 admin/QwestM0dem 。值得一提,admin/CentryL1nk 这对用户名密码是针对ZyXEL

IoT_reaper 情况更新

在周五晚上披露了IoT_reaper之后,我们收到了来自安全社区和各方很多问题。这里给出一个快速的更新,以澄清各方可能的疑问。 IoT_reaper样本投递历史情况 我们通过蜜罐观察到的 IoT_reaper 样本历史投递情况如下: 可以看出,IoT_reaper 最主要传播的恶意代码位于下面这个URL上: 下载地址:hxxp://162.211.183.192/sa 投递者:119.82.26.157 起止时间:10-04~10-17 样本md5:7 个,