安全威胁预警:Mirai变种Satori正在端口 37215 和 52869 上类似蠕虫式传播

作者:360网络安全研究院 [更新记录] - 2017-12-05 18:56:40 UTC,在我们的博客发出2个小时后,我们观察到C2服务器开始向bot发送停止扫描的指令,与此同时我们看到大网上这两个端口的流量开始下降。 - 文中提到的C2地址 95.211.123.69:7654 ,实际是 95.211.123.69:7645 的笔误。 在我们之前的blog中,我们提及有大约10万个来自阿根廷的独立扫描IP正在扫描端口2323和23,并且确定这是一个新的mirai变种。在过去的几天中,扫描行为变得愈发严重,更多的国家出现在我们的ScanMon平台上。仔细分析后我们看到了更多的部分,

安全威胁早期预警:新的mirai僵尸网络变种正在端口23和2323上积极传播

【2017-11-28 更新】 原文中提到的两个C2均已被安全社区sinkhole。 原文中的 admin/CentryL1nk 是 admin/CenturyL1nk 的笔误。 大约60个小时以前,从2017-11-22 11:00开始,360网络安全研究院注意到在端口2323和23上的扫描流量有一个暴涨现象。其中主要扫描者,大约10万个扫描IP地址位于阿根廷,同时360网络安全研究院也注意到大约有5千个IP地址来自国内。分析以后,目前比较确定这是一个新的mirai变种。 根因分析 在我们蜜罐中,最近有两个新的用户名密码被频繁使用到,分别是 admin/CentryL1nk 和 admin/QwestM0dem 。值得一提,admin/CentryL1nk 这对用户名密码是针对ZyXEL

比较“81端口的botnet”和 MIRAI 之间的联系

概述 从 "81 端口的异常流量"中,我们发现了一个新的僵尸网络家族,它和 MRIAI 存在一定的联系,本文将介绍一些对比结果,同时介绍一下我们从这个 botnet 中发现的一种依赖SSDP协议的感染机制。 *注:如无特殊声明,MIRAI的分析将以github源码为基础;新botnet 将以其中的9584B6AEC418A2AF4EFAC24867A8C7EC样本的逆向结果为基础。 相同点 相同的扫描方案 众所周知,MIRAI在传播过程中用到了SYN端口探测的技巧,来提高传播效率。新Botnet 也使用了该技巧并将其用在了81端口扫描中。随着研究的深入我们发现它和MIRAI有着相同的扫描规则。 在 MIRAI 中,被扫描IP是通过一系列随机函数生成的,但他有个黑名单机制,用于跳过一些IP地址范围(代码来自scanner.

新威胁报告:一个新IoT僵尸网络正在 HTTP 81上大范围传播

概述 360 网络安全研究院近日监测到一个新的僵尸网络正在大范围扫描整个互联网。考虑到该僵尸网络的以下因素,我们决定向安全社区公开我们的发现成果: 规模较大,我们目前可以看到 ~50k 日活IP 有Simple UDP DDoS 攻击记录,可以认定是恶意代码 较新,目前尚有较多安全厂商未能识别该恶意代码 ( 7/55 virustotal ) 与mirai僵尸网络相比,借鉴了其端口嗅探手法和部分代码,但是在传播、C2通信协议、攻击向量等关键方面完全不同于mirai,是新的恶意代码家族而不应视为mirai的变种 我们梳理了该僵尸网络的发现过程、传播手法、行为特征,简略分析了该僵尸网络的攻击行为,并按照时间线组织本blog的各小节如下: GoAhead及多家摄像头的 RCE 漏洞