P2P 僵尸网络:回顾·现状·持续监测

缘起 P2P结构的网络比传统的C/S结构具有更好的可扩展性和健壮性,这些优点很早就为botnet的作者所认识到并被用到他们的僵尸网络中。从时间上看,2007年出现的Storm可以算是这方面的鼻祖,那时botnet这种网络威胁刚为大众所知。Storm之后,陆续又有Karen、ZeroAccess、GameOver、Hijime、mozi等20来种P2P botnet先后出现,它们在技术上各有特点,共同点就是规模大、防御难度大,想让它们彻底消失比较困难,比如Mozi在作者已经明确放弃甚至被抓几年之后还在活跃,可谓“百足之虫死而不僵”。 早期的P2P botnet主要针对Windows机器,比如Storm、ZeroAccess以及GameOver感染的都是Windows操作系统。2016年Mirai出现之后,网络上那些大量存在而又缺乏防御的Linux IoT设备开始成为许多botnet的目标,Hijime、mozi、pink等针对Linux设备的P2P botnet陆续出现。 由于P2P网络“

  • 360Netlab
  • RootKiter
    RootKiter
  • LIU Ya
    LIU Ya
16 min read
Botnet

卷土重来的DDoS狂魔:Fodcha僵尸网络再次露出獠牙

背景 2022年4月13日,360Netlab首次向社区披露了Fodcha僵尸网络,在我们的文章发表之后,Fodcha遭受到相关部门的打击,其作者迅速做出回应,在样本中留下Netlab pls leave me alone I surrender字样向我们投降。本以为Fodcha会就此淡出江湖,没想到这次投降只是一个不讲武德的假动作,Fodcha的作者在诈降之后并没有停下更新的脚步,很快就推出了新版本。 在新版本中,Fodcha的作者重新设计了通信协议,并开始使用xxtea和chacha20算法对敏感资源和网络通信进行加密,以躲避文件&流量层面的检测;同时引入了OpenNIC 域名做为主选C2,ICANN 域名做为后备C2的双C2方案。这种冗余机制,既能防止C2被接管,又有良好的健壮性,能够维持其主控网络的稳定。 依托于背后团队强大的N-day漏洞整合能力,卷土重来的Focha与之前对比可谓有过之而无不及。

  • Alex.Turing
    Alex.Turing
  • Hui Wang
    Hui Wang
  • YANG XU
    YANG XU
23 min read
loader

PureCrypter Loader持续活跃,已经传播了10多个其它家族

在我们的日常botnet分析工作中,碰到各种loader是常事。跟其它种类的malware相比,loader的特殊之处在于它主要用来“推广”,即在被感染机器上下载并运行其它的恶意软件。根据我们的观察,大部分loader是专有的,它们和推广的家族之间存在绑定关系。而少数loader家族会将自己做成通用的推广平台,可以传播其它任意家族,实现所谓的malware-as-a-service(MaaS)。跟专有loader相比,MaaS类型显然更危险,更应该成为我们的首要关注目标。 本文介绍我们前段时间看到的一个MaaS类型的loader,它名为PureCrypter,今年非常活跃,先后推广了10多个其它的家族,使用了上百个C2。因为zscaler已经做过详细的样本分析,本文主要从C2和传播链条角度介绍我们看到的PureCrypter传播活动,分析其运作过程。 本文要点如下: PureCrypter是一款使用C#编写的loader,至少2021年3月便已出现,能传播任意的其它家族。 PureCrypter今年持续活跃,已经传播了包括Formbook、SnakeKeylogger、AgentTesla、

  • wanghao
14 min read
Botnet

DGA家族Orchard持续变化,新版本用比特币交易信息生成DGA域名

DGA是一种经典的botnet对抗检测的技术,其原理是使用某种DGA算法,结合特定的种子和当前日期,定期生成大量的域名,而攻击者只是选择性的注册其中的极少数。对于防御者而言,因为难以事先确定哪些域名会被生成和注册,因而防御难度极大。 360 netlab长期专注于botnet攻防技术的研究,维护了专门的DGA算法和情报库,并通过订阅情报的方式与业界分享研究成果。近期我们在分析未知DGA域名时发现一例不但使用日期,还会同时使用中本聪的比特币账号交易信息来生成DGA域名的例子。因为比特币交易的不确定性,该技术比使用时间生成的DGA更难预测,因而防御难度更大。 该技术发现于一个名为Orchard的botnet家族。自从2021年2月份首次检测到该家族以来,我们发现它至少经历了3个版本的变化,中间甚至切换过编程语言。结合长期的跟踪结果和其它维度的信息,我们认为Orchard会是一个长期活跃、持续发展的botnet家族,值得警惕。本文将介绍Orchard的最新DGA技术,以及它这3个版本的发展过程。本文要点如下: Orchard是一个使用了DGA技术的botnet家族,核心功能是在受害者机器上安装各种恶意软件。 从2021年2月至今,我们先后检测到3个版本的Orchard样本,均使用了DGA技术。

  • daji
    daji
  • suqitian
    suqitian
18 min read
公有云威胁情报

公有云网络安全威胁情报(202204)

概述 本文聚焦于云上重点资产的扫描攻击、云服务器总体攻击情况分析、热门漏洞及恶意程序的攻击威胁。 360高级威胁狩猎蜜罐系统发现全球9.2万个云服务器IP进行网络扫描、漏洞攻击、传播恶意软件等行为。其中包括国内39家单位所属的云服务资产IP,这些单位涉及政府、医疗、建筑、军工等多个行业。 2022年4月,WSO2多个产品和Apache Struts2爆出高危漏洞,两个漏洞技术细节已经公开,并且我们发现两个漏洞都已有在野利用和利用漏洞传播恶意软件的行为。 本月共记录来源于云服务器的扫描和攻击会话3.7亿次,其中漏洞攻击会话2400万次,传播恶意软件会话77.2万次。 云上重点资产扫描攻击 四月份,我们共监测到全国39个公有云重点资产存在异常扫描及攻击行为。随着云服务的普及,云安全问题也随之越发突出。攻击者常常入侵云服务器,并利用被入侵机器继续发动攻击。4月份我们发现了国内39个云服务器重点IP具有异常扫描攻击行为,由此我们认为该重点IP可能被入侵。从行业分布看,

  • 360Netlab
12 min read
公有云威胁情报

公有云网络安全威胁情报(202203)

概述本文聚焦于云上重点资产的扫描攻击、云服务器总体攻击情况分析、热门漏洞及恶意程序的攻击威胁。360高级威胁狩猎蜜罐系统发现全球12万个云服务器IP,进行网络扫描、漏洞攻击、传播恶意软件等行为。其中包括国内156家单位的服务器IP,涉及大型央企、政府机关等行业。Spring厂商连续公开3个关键漏洞,CVE-2022-22947、CVE-2022-22963、CVE-2022-22965,本文将对前两个漏洞进行细节分析,第三个漏洞细节点此查看。本月共记录威胁攻击8亿次有余(其中包括漏洞攻击7.4亿余次、传播恶意软件超5500万次),新增IoC累计68万余个,其中针对IoT设备的漏洞攻击呈上升趋势。云上重点资产扫描攻击三月份,我们共监测到全国156个公有云重点资产存在异常扫描及攻击行为。随着业务不断上云,发生在公有云平台上的网络安全事件和威胁数量居高不下,国内重点行业包括但不限于我国的科研机构、大型企业、政府及事业单位成为攻击者的重点攻击对象,合计攻击源156个。根据所属云服务商来源,我们发现我国重点IP的云服务商以阿里云使用为主,其次为腾讯云。

  • 360Netlab
11 min read
Botnet

新威胁:闷声发大财的Fodcha僵尸网络

本报告由国家互联网应急中心(CNCERT)与三六零数字安全科技集团有限公司共同发布。 概述 近期,CNCERT和三六零数字安全科技集团有限公司共同监测发现一个新的且在互联网上快速传播的DDoS僵尸网络,通过跟踪监测发现其每日上线境内肉鸡数(以IP数计算)已超过1万、且每日会针对超过100个攻击目标发起攻击,给网络空间带来较大威胁。由于该僵尸网络最初使用的C2域名folded.in,以及使用chacha算法来加密网络流量,我们将其命名为Fodcha。 僵尸网络规模 通过监测分析发现,2022年3月29日至4月10日Fodcha僵尸网络日上线境内肉鸡数最高达到1.5万台,累计感染肉鸡数达到6.2万。每日境内上线肉鸡数情况如下。 Netlab按: 根据国外合作伙伴的数据,我们估算该家族全球日活肉鸡数量应该在5.6w+ Fodcha僵尸网络位于境内肉鸡按省份统计,排名前三位的分别为山东省(12.9%)、辽宁省(11.8%

  • Hui Wang
    Hui Wang
  • Alex.Turing
    Alex.Turing
  • YANG XU
    YANG XU
9 min read
DNSMon

俄乌危机中的数字证书:吊销、影响、缓解

背景 当前这场始于2021的俄乌危机已经注定载入史册,不仅因为危机中的冲突会对传统政治地缘产生深远影响,也因为这些冲突历史性的全面蔓延到网络空间。我们(360Netlab)从独立采集到的数据出发,观察分析并呈现冲突中各利益相关方采取的行动和反制行动,希望有利于安全社区思考自身在网络空间中的定位、态度和行动。 本文中的观察分析基于网络资产的SSL证书数据库CertDB,它是360Netlab 运营的网络空间基础数据之一,它采集了几乎全部活跃的网络空间中的网站证书。证书是整个现代webPKI系统的最核心的部分之一。如果说DNS数据标识了网络资产的地址,那么证书就是网络资产的身份证。丢失或者没有证书数据,就没有办法证明“我”就是“我”。因此作为互联网安全运营的基础数据,重要性不言而喻。 360Netlab同时运营着的网络空间基础数据库包括描述域名注册的WhoisDB、域名解析的PassiveDNS、网站页面的WebDB等等。这些基础数据库的条目以十亿或千亿为单位计,共同构成了用以描述全球网络空间变迁的DNSMon系统。 在CertDB的支持下,我们有足够坚实的数据基础来解读本次俄乌危机中俄罗斯网络空间中网站证书的变化情况。 3月初,乌克兰政府向互联网域名管理机构ICANN书面请求将俄罗斯相关顶级域名“

  • Zhang Zaifeng
    Zhang Zaifeng
28 min read
honeypot

Spring4Shell在野漏洞传播分析

背景介绍 2022年3月31号,Spring针对Spring4Shell漏洞(CVE-2022-22965)事件发布了安全公告[1],并提供了漏洞修复程序,此次漏洞事件在安全社区引起广泛关注。 360网络安全研究院高级威胁狩猎蜜罐系统[2]通过被动监测方式看到了该漏洞在野传播过程,我们也看到了Mirai僵尸网络入场,相关在野漏洞攻击威胁情报已通过自动化形式输出。 Spring4Shell 在野传播 360网络安全研究院高级威胁狩猎蜜罐系统持续监测到Spring4Shell漏洞(CVE-2022-22965)扫描和漏洞利用行为,部分源IP地理位置分布如下: 以下是Top 10 国家/地区统计列表 United States 92 The Netherlands 49 Germany 30 China 21

  • houliuyang
    houliuyang
  • 黄安欣
18 min read
DNSMon

商业数字证书签发和使用情况简介(删减版)

概要数字证书是整个现代webPKI系统的最核心的部分之一。如果说DNS数据标识了网络资产的地址,那么数字证书就是网络资产的身份证。没有,丢失或者被吊销数字证书,就没有办法证明“我”就是“我”。因此PKI系统及其数据已经成为网络真正的基础设施,作为互联网安全运营的基础数据,重要性不言而喻。 3月初,乌克兰政府向互联网域名管理结构ICANN书面请求将俄罗斯相关顶级域名“.ru”, “.рф” 和“.su”从互联网撤销[1],但ICANN并没有认同这份请求[2]。近日,我们注意到俄罗斯相关的一些国家基础设施网站的证书被证书机构陆续吊销。 360Netlab成立之后不久就通过主动、被动相结合的方式收集网络数字证书,并以此为基础构建了网络证书数据库CertDB。目前该库包含证书规模和涉及的IP端口数据达到十亿级,历史数据可追溯超过5年,是360Netlab基础数据分析系统DNSMon的重要组成部分。此外360Netlab同时运营着的网络空间基础数据库包括描述域名注册的WhoisDB、域名解析的PassiveDNS、网站页面的WebDB等等。

  • Zhang Zaifeng
    Zhang Zaifeng
14 min read
Botnet

新威胁:使用DNS Tunnel技术的Linux后门B1txor20正在通过Log4j漏洞传播

背景 自从Log4J漏洞被曝光后,正所谓"忽如一夜漏洞来,大黑小灰笑开怀”。无数黑产团伙摩拳擦掌加入了这个“狂欢派对”,其中既有许多业界非常熟悉的恶意软件家族,同时也有一些新兴势力想趁着这股东风在黑灰产上分一杯羹。360Netlab作为专注于蜜罐和Botnet检测跟踪的团队,我们自该漏洞被公开后就一直关注它会被哪些僵尸网络利用,期间我们看到了Elknot,Gafgyt,Mirai等老朋友的从不缺席,也见证了一些新朋友的粉墨登场。 2022年2月9日,360Netlab的蜜罐系统捕获了一个未知的ELF文件通过Log4J漏洞传播,此文件在运行时产生的网络流量引发了疑似DNS Tunnel的告警,这引起了我们的兴趣。经过分析,我们确定是一个全新的僵尸网络家族,基于其传播时使用的文件名"b1t",XOR加密算法,以及RC4算法秘钥长度为20字节,它被我们命名为B1txor20。 简单来说,B1txor20是一个针对Linux平台的后门木马, 它利用DNS

  • Alex.Turing
    Alex.Turing
  • Hui Wang
    Hui Wang
14 min read
公有云威胁情报

公有云网络安全威胁情报(202202)

1. 概述 17个云上重点资产有漏洞攻击行为,包括某民主党派市级委员会、某县级中医院等云上重点单位。 随着俄乌冲突全面升级,我们发现有攻击者利用Docker Remote API未授权访问漏洞,对俄罗斯境内服务器发起拒绝服务(DoS)网络攻击。 Apache APISIX本月爆出远程代码执行漏洞(CVE-2022-24112),攻击者通过两种攻击方式可远程执行恶意代码。 本文主要通过360网络安全研究院 Anglerfish蜜罐视角,分析云上热门漏洞攻击细节,以及云上重要资产在公网上发起攻击的情况。 2. 云上资产对外扫描攻击 2月份我们共发现17个命中蜜罐节点的重要单位的云上资产,下表为其中一部分案例,如果需要更多相关资料,请根据文末的联系方式与我们联系。 IP地址 云服务商 单位名称 所属行业 IP所在省份 漏洞利用 扫描协议

  • Rugang Chen
  • houliuyang
    houliuyang
9 min read
Botnet

我们近期看到的针对乌克兰和俄罗斯的DDoS攻击细节

在360Netlab(netlab.360.com),我们持续的通过我们的 BotMon 系统跟踪全球范围内的僵尸网络。特别的,对于DDoS 相关的僵尸网络,我们会进一步跟踪其内部指令,从而得以了解攻击的细节,包括攻击者是谁、受害者是谁、在什么时间、具体使用什么攻击方式。 最近俄乌局势紧张,双方的多个政府、军队和金融机构都遭到了DDoS攻击,我们也不断接收到安全社区的询问,咨询对于最近乌克兰和俄罗斯相关网站 (.ua .ru下属域名)遭受DDoS攻击的具体情况,因此我们特意整理相关数据供安全社区参考。 针对乌克兰的DDoS攻击 下图是我们看到的针对域名以.gov.ua结尾的政府网站的攻击趋势。 可以看到攻击最早始于2月12号,攻击数量和强度都在持续变大,在2月16日达到顶峰,攻击类型则混合了NTP放大、

  • 360Netlab
12 min read
DTA

用DTA照亮DNS威胁分析之路 (3)

--- 内置未知威胁分析模型介绍概述在系列文章2,介绍了如何利用DTA进行一轮完整的未知威胁分析,共有3个步骤: 1、提出分析思路,从DNS日志里找到可疑线索 2、确认可疑线索有威胁行为 3、借助DNS日志确认资产被感染 其中,这几个步骤里最为安全分析人员所熟悉的应该是步骤2,毕竟日常工作大家都少不了利用各家威胁情报平台、搜索引擎和云沙箱进行信息搜集+关联+确认可疑线索;而步骤1和3,因为涉及到DNS日志,对于不熟悉DNS的分析人员来说,是需要一定学习成本去积累相关分析经验和熟悉DTA的各类元数据的。因此,针对未知威胁分析,DTA预置了可疑心跳域名、可疑NOD(新出现在网络中的可疑域名)、可疑境外域名等等模型,这些模型以后台运行的方式自动完成上述3个步骤,当模型计算出某个域名存在威胁行为时,会在首页以威胁告警的方式通知分析人员有“未知威胁”类型的告警需要进一步分析。图-1

  • suqitian
    suqitian
10 min read
公有云威胁情报

公有云网络安全威胁情报(202201)

1. 概述 2022年的第一个月份,虽然没有爆发新的热门漏洞,且随着越来越多设备的Apache Log4j2漏洞被修复,12月开始的Apache Log4j2漏洞爆发也进入尾声,相关攻击源数量明显减少。但是,Docker Remote API未授权访问漏洞、美国飞塔(Fortinet)FortiOS未授权任意文件读取漏洞等旧漏洞的云服务器攻击源IP数量突然较12月大幅度增加。在第2部分,我们分析了这两个漏洞的攻击趋势和攻击方法。政府和企事业单位的云上资产方面,1月份共发现26个云上资产对外扫描攻击,其中某航天研究单位、某县级人民医院(都架设在阿里云上)等单位使用的云服务器IP在公网上发起攻击,值得关注。本文主要通过360网络安全研究院 Anglerfish蜜罐视角,分析云上热门漏洞攻击细节,以及云上重要资产在公网上发起攻击的情况。 2. 云上热门漏洞攻击威胁 本月没有爆发的新漏洞攻击,但值得注意的是,

  • Rugang Chen
  • houliuyang
    houliuyang
11 min read
公有云威胁情报

公有云网络安全威胁情报(202112)

1. 概述 云服务具备部署方便、资源灵活弹性、按需付费等优势,各类企业、政府、事业单位、高校和研究机构近年来都参与到了“上云”的潮流中。然而,随着越来越多各行各业的敏感数据“上云”,云安全问题的重要性和紧迫性也越发突出。近年来,全球云服务器被DDoS攻击、入侵、网站页面恶意修改、敏感数据泄露、加密勒索、恶意挖矿等安全事件频发,特别是提供公网服务的云主机,时时刻刻面临着漏洞攻击、暴力破解、Bot流量等云上网络威胁,这要求无论是云服务商还是云上用户都需要时刻做好威胁检测和处置的准备。 云安全的关键是“知己知彼”。“知己”就是做好云上资产、组件、数据和漏洞的管理,

  • Rugang Chen
14 min read
DTA

用DTA照亮DNS威胁分析之路 (2)

--- 对服务器网段进行未知威胁分析概述要进行网络威胁狩猎,或者低调点叫网络威胁分析,通常需要具备3个能力: 1、找到线索的能力。这里的能力是特指在无先验知识(IoC等)条件下,既尽可能无漏报又不会有太多误报地从海量数据里挖掘出线索; 2、确认线索是威胁的能力。线索是包含噪音的,需要去除噪音只留下有威胁的线索; 3、分辨资产被真实感染的能力。只有确认真实感染,才能保证后续的威胁处置动作有成果。 按:由于DTA也实现有“已知”威胁分析功能,但其用法和本文描述的操作细节相差甚远,为避免混淆,特此说明一下本文所有威胁分析的用词,都是指“未知”威胁分析。 在上一篇文章,我们提到DNS日志的优点是简单且重要。但正是福兮祸所倚,简单这个优点,从威胁分析的角度来讲它又成了最大的缺点,

  • suqitian
    suqitian
13 min read

Subscribe to 360 Netlab Blog - Network Security Research Lab at 360