GPON

GPON 漏洞的在野利用(三)——Mettle、Hajime、Mirai、Omni、Imgay、TheMoon

本文由 Hui Wang、LIU Ya、RootKiter、yegenshen 共同撰写。 [更新 2018-05-21 17:30] 这场GPON的聚会看起来永远不会结束了,现在 TheMoon 僵尸网络家族也开始加入了。文中增加了相关的描述。特别值得说明的,TheMoon僵尸网络所使用的攻击漏洞此前并没有批露过,看起来像是个 0day,我们选择不公开攻击载荷的详细内容。另外我们选择了两个版本的 GPON 家用路由器,TheMoon使用的攻击载荷均能成功运行。 我们在之前的系列文章 一 和 二 里提及,在本次GPON漏洞(CVE-2018-10561,

  • Hui Wang
    Hui Wang
11 min read
Mirai

GPON 漏洞的在野利用(二)——Satori 僵尸网络

本篇文章由 Rootkiter,yegenshen,Hui Wang 共同撰写。 我们在之前的 文章 里提及,在本次GPON漏洞(CVE-2018-10561,CVE-2018-10562)公布以来,10天内已经有至少5个僵尸网络家族在积极利用该漏洞构建其僵尸军团,包括 mettle、muhstik、mirai、hajime、satori等等。 在上一篇文章里,我们详细介绍了 muhstik 僵尸网络的情况。在那篇文章发布的前后,通过与安全社区共同的努力,我们累积关闭了muhstik僵尸网络在 OVH 上的12 个IP地址,以及在微软网络上的 1 个IP地址。

  • RootKiter
    RootKiter
9 min read
IoT Botnet

安全威胁预警:Mirai变种Satori正在端口 37215 和 52869 上类似蠕虫式传播

作者:360网络安全研究院 [更新记录] - 2017-12-05 18:56:40 UTC,在我们的博客发出2个小时后,我们观察到C2服务器开始向bot发送停止扫描的指令,与此同时我们看到大网上这两个端口的流量开始下降。 - 文中提到的C2地址 95.211.123.69:7654 ,实际是 95.211.123.69:7645 的笔误。 在我们之前的blog中,我们提及有大约10万个来自阿根廷的独立扫描IP正在扫描端口2323和23,并且确定这是一个新的mirai变种。在过去的几天中,扫描行为变得愈发严重,更多的国家出现在我们的ScanMon平台上。仔细分析后我们看到了更多的部分,

  • Li Fengpei
    Li Fengpei
6 min read
IoT Botnet

安全威胁早期预警:新的mirai僵尸网络变种正在端口23和2323上积极传播

【2017-11-28 更新】 原文中提到的两个C2均已被安全社区sinkhole。 原文中的 admin/CentryL1nk 是 admin/CenturyL1nk 的笔误。 大约60个小时以前,从2017-11-22 11:00开始,360网络安全研究院注意到在端口2323和23上的扫描流量有一个暴涨现象。其中主要扫描者,大约10万个扫描IP地址位于阿根廷,同时360网络安全研究院也注意到大约有5千个IP地址来自国内。分析以后,目前比较确定这是一个新的mirai变种。 根因分析 在我们蜜罐中,最近有两个新的用户名密码被频繁使用到,分别是 admin/CentryL1nk 和 admin/QwestM0dem 。值得一提,admin/CentryL1nk 这对用户名密码是针对ZyXEL

  • Li Fengpei
    Li Fengpei
5 min read
IoT Botnet

IoT_reaper : 一个正在快速扩张的新 IoT 僵尸网络

从2017-09-13 01:02:13开始,我们捕获到一个新的针对iot设备的恶意样本出现,在随后的这个一个多月时间里,这个新的IoT僵尸网络家族不断持续更新,开始在互联网上快速大规模的组建僵尸网络军团。 该僵尸网络脱胎于mirai,但是在诸多方面比mirai更进一步,特别是开始放弃弱口令猜测,完全转向利用IoT设备漏洞收割,成为IoT僵尸网络里的新兴玩家。我们将之命名为IoT_reaper。 IoT_reaper规模较大且正在积极扩张,例如最近的数据昨日(10月19日)在我们观察到的多个C2中,其中一个C2上活跃IP地址去重后已经有10k个,此外还有更多的易感设备信息已经被提交到后台,由一个自动的loader持续植入恶意代码、扩大僵尸网络规模。 所幸目前该僵尸网络还尚未发出植入恶意代码以外的其他攻击指令,这反映出该僵尸网络仍然处在早期扩张阶段。但是作者正在积极的修改代码,这值得我们警惕。 我们公开IoT_reaper的相关信息,希望安全社区、设备供应商、政府能够采取共同行动,

  • yegenshen
    yegenshen
6 min read
RSAC

RSA大会 '2017上的ScanMon

RSA大会 '2017 即将在2月13日至17日期间在美国旧金山Moscone中心举办。在今年的这次大会上,我们向全世界安全社区推出我们的 ScanMon 系统。 网络扫描是互联网上一种流行的威胁,经常被攻击者用来发现网络空间里存活的主机或者服务,并随后可能被用来定位潜在的受害者。扫描行为通常发生在恶意攻击行为的早期,所以如果能及早发现扫描行为会对抵御对应的攻击有显著改善。 360网络安全研究院的 ScanMon 系统提供全球范围内实时和历史扫描行为的监控和分析。ScanMon 通过分析大量多样的网络数据,包括但不限于网络流、蜜罐等等,来精确有效的检测扫描行为。对已检出的扫描事件,ScanMon 会展示扫描行为的关键信息和统计数据,例如扫描源IP、受害者端口、扫描数量、分布、扫描源之间的伴生关系,等等。基于这些信息,使用者可以第一时间感知网络扫描行为,并方便有效的识别对应的攻击者。例如,

  • Li Fengpei
    Li Fengpei
2 min read
Mirai

Mirai 变种中的DGA

更新历史 2016-12-09 首次发布 2016-12-12 更新图0,修正了我们DGA实现中一处TLD选择的错误 概要 两个星期前,我们发现2个新的感染载体(也即TCP端口7547和5555变种)被用来传播MIRAI恶意软件。 <A Few Observations of The New Mirai Variant on Port 7547> 我的同事Ye Genshen快速设置了一些蜜罐,并且很快取得收获:11月28日一天就捕获了11个样本。 迄今为止,我们的蜜罐已从6个托管服务器捕获了53个独立样本。 在分析其中一个新样本时,我的同事Qu Wenji发现一些类似DGA的代码,

  • LIU Ya
5 min read
Botnet

德国电信断网:mirai僵尸网络的新变种和旧主控

【更新】 2016-11-29 18:40:00 初始版本 2016-11-29 20:10:00 增加了对德国电信断网事件相关的描述 德国电信断网事件 2016-11-28 德国电信在2016年11月28日前后遭遇一次大范围的网络故障。在这次故障中,2千万固定网络用户中的大约90万个路由器发生故障(约4.5%),并由此导致大面积网络访问受限。很多媒体给出了网络受限的示意图,如下。 德国电信进一步确认了问题是由于路由设备的维护界面被暴露在互联网上、并且互联网上正在发生针对性的攻击而导致。德国电信连夜与设备供应商生成了新的升级包,并且要求客户如果怀疑受到影响就断电重启路由器,之后利用自动/手动的升级过程来减轻问题显然,德国电信还采取了一系列的过滤措施来保证升级过程不受攻击影响。德国电信对该事件给出了较为详细的描述。 https://www.telekom.com/

  • Li Fengpei
    Li Fengpei
15 min read
Mirai

关于 mirai 僵尸网络控制主机的数据分析

之前的文章中已经提及,我们的僵尸网络跟踪系统对mirai僵尸网络控制主机做了持续跟踪,并且在文章的结尾处,依据跟踪结果排除了僵尸网络操作者位于北京时区的可能。在这篇文章中,我们将进一步分析mirai僵尸网络的控制主机的行为和特征。之前文章链接如下: http://blog.netlab.360.com/a-dyn-twitter-ddos-event-report-and-mirai-botnet-review/ 目前为止,我们与安全社区合作共享了两位数域名上的超过50个mirai僵尸网络主控。但本文后面的分析仅针对360网络安全研究院独立发现的主控,即13个域名上的16个主控主机名,其中8个在持续对外发起攻击。 在时间线上,我们可以看到各主控随时间变化的注册、在DNS中首次出现、持续保持IP地址变化、首次被监控到发起攻击等事件。地理分布方面,主控的IP地理分布主要在欧洲和美国,尤以欧洲为甚,亚洲很少,这从侧面增强了之前“mirai控制者不在北京时区”的判断。 域名注册信息方面,绝大多数主控在域名注册时在TLD、注册局、

  • Li Fengpei
    Li Fengpei
7 min read
Mirai

关于 dyn / twitter 受攻击情况的说明和 mirai 僵尸网络的回顾

【更新记录】 2016-10-23 初始版本 2016-10-27 获得了少量攻击现场数据,分析结果与之前观点吻合一致。 北京时间2016年10月21 日晚间,北美地区大量反馈若干重要的互联网网站无法正常访问。涉及到的网站包括 twitter, paypal,github等等,由于这些网站与北美地区日常生活强烈相关,这次网络故障被北美主要媒体广泛报道,也引起了安全社区的强烈关注。我们与国外安全社区一起协同,对本次网络事件提供数据、加以分析并做了溯源跟踪。 目前我们已经能够确定本次事件是一次DDoS网络攻击事件,攻击目标主要是Dynamic Network Services(dyn)公司,twitter、paypal、github等网站作为dyn公司的客户,在本次攻击中不幸被波及。 在攻击持续溯源的过程中,虽然目前Flashpoint公司已经确认最近广泛受关注的mirai僵尸网络参与了本次网络攻击,但是我们倾向认为虽然mirai贡献了本次攻击的部分攻击流量,但并非所有的攻击流量都来自原始泄漏版本mirai。

  • Li Fengpei
    Li Fengpei
14 min read