fbot The new developments Of the FBot update: we have captured the key exploit at around 11am 2/21 (GMT+8), it appears that some vendor have weak security implementation of DVRIP protocol, and attacker has spot the weakness and
DDoS FBot 新进展 更新:2019年2月21号11点,我们捕获到了Fbot Loader完整的漏洞利用Payload,攻击者通过DVRIP协议建立telnet后门并植入Fbot僵尸网络程序。 特别声明 本次抓取的Fbot看起来是以 HiSilicon DVR/NVR Soc 的设备为目标,我们已经看到有24528个设备IP被感染。但需要警惕的是,考虑到物联网行业具有复杂的产业链,实际问题可能是在它的下游引入的,我们这里之所以列出 HiSilicon DVR/NVR Soc 仅源自于我们对可获取特征的统计,在没有拿到实际 Exploit 之前,我们无法给出引入问题的确切位置。 背景介绍 从2019年2月16号开始,360Netlab发现有大量HiSilicon DVR/NVR Soc设备被攻击者利用并植入Fbot僵尸网络程序。Fbot是由360Netlab率先发现并披露的僵尸网络[
Smoke Loader: The Admin Panel, the 3rd Party Patch, and few other things Smoke Loader is a botnet software that is publicly available since 2011 on the black market. It is old but still active, just in the last six months we have seen more than
Botnet Smoke Loader:主体、控制台、插件,以及盗版之殇 Smoke Loader 是一个在黑市上公开销售的僵尸网络软件。其活动时间可以追溯到2011年,虽然近年来已经被多次曝光,但保持持续升级,非常活跃。在我们统计中,仅最近半年活跃的样本就超过 1,500 个。我们在跟踪这一家族的过程中,捕获了一套完整的恶意程序套件,包括其主体Loader、控制台Panel,以及控制台中包含的插件。对这套样本的分析使我们对其运行机制有了更深入的了解,这将是本文的主要内容之一。分析过程中,我们还遇到一组被修改过的特例样本。虽然有人认为这组样本是作者在对抗安全研究人员提取C2主控域名,但仔细分析后,我们认为这是第三方做“盗版”。这部分的分析和研判过程,是本文的主要内容之二。Smoke Loader相关的分析文档已经很多,本文不会涉及已经被公开的部分。相关内容,读者可以参阅文末参考部分。Smoke
DDG DDG 升级: P2P机制加持,样本对抗增强 1. 概述DDG.Mining.Botnet(以下简称DDG)是我们首先感知并披露的挖矿僵尸网络。我们上一篇相关报告发布于 2018.11 月份,针对当时最新的版本 v3014 。最近,DDG 开始了频繁的更新:从 2019.1.3~2019.1.18 的半个月时间内,发布了 v3015~v3019 共 5 个版本,并在 2019.1.27
DDG Botnet: A Frenzy of Updates before Chinese New Year 1. OverviewDDG is a mining botnet we discovered in Oct 2017 has been covered by us multiple times with some of its’ major updates.With the beginning of the new year, the author
Botnet “双枪”木马的基础设施更新及相应传播方式的分析 1. 引述 2018.12.23 日,我们的 DNSMon 系统监测到以下三个异常的域名,经过研判这些域名属于 双枪 木马的网络基础设施。考虑到这些域名仅在最近才注册并启用,我们认为双枪木马近期在更新其基础设施,建议安全社区加以关注。 white[.]gogo23424.com www[.]src135.com www[.]x15222.com 双枪 木马是目前我们见过的最复杂的恶意程序之一,最早由 360 安全卫士团队披露,并对其木马工作原理做了详细的技术分析。双枪木马本身集 Rootkit 和
DDG 威胁快讯:DDG 3014 版本 DDG 是一个专注于扫描控制 SSH 、 Redis数据库 和 OrientDB数据库 服务器,并攫取服务器算力挖矿(门罗币)的僵尸网络。我们在2017年10月25日首次感知到 DDG僵尸网络,并在随后发布了报告和报告。最近的一篇 报告 发布于 2018-08,当时 DDG 的版本更新到 3013。 近期,我们注意到 DDG 更新到版本 3014。 1. 基本信息 sample 全家福: v3014 目录下的 sample:
Botnet BCMPUPnP_Hunter: A 100k Botnet Turns Home Routers to Email Spammers This article was co-authored by Hui Wang and RootKiter. Since September 2018, 360Netlab Scanmon has detected multiple scan spikes on TCP port 5431, each time the system logged more than 100k scan sources,
Botnet BCMUPnP_Hunter:疑似10万节点级别的僵尸网络正在滥用家用路由器发送垃圾邮件 本文由 Hui Wang、RootKiter共同撰写 360Netlab在2018年9月注意到一个新的僵尸网络。该僵尸网络的感染数量特别巨大,每个扫描波次中活跃的IP地址为10万左右,值得引起安全社区的警惕。 我们将该僵尸网络命名为 BCMUPnP_Hunter,主要是考虑基其感染目标特征。该僵尸网络有以下几个特点: 感染量特别巨大,每个波次中活跃的扫描IP均在10万左右; 感染目标单一,主要是以BroadCom UPnP为基础的路由器设备; 样本捕获难度大,在高交互蜜罐中需模拟多处设备环境后才能成功捕获; 自建代理网络(tcp-proxy),该代理网络由攻击者自行实现,可以利用 bot端 为跳板,代理访问互联网; 该代理网络目前主要访问Outlook,Hotmail,Yahoo! Mail 等知名邮件服务器,我们高度怀疑攻击者的意图主要是和发送垃圾邮件有关。
GhostDNS GhostDNS正在针对巴西地区70种、100,000+家用路由器做恶意DNS劫持 背景介绍 从2018年9月20号开始,360Netlab Anglerfish蜜罐系统监测到互联网上有大量IP正在针对性地扫描路由器系统。攻击者尝试对路由器Web认证页面进行口令猜解或者通过dnscfg.cgi漏洞利用绕过身份认证,然后通过相应DNS配置接口篡改路由器默认DNS地址为Rogue DNS Server[1] 。 我们共发现3套成熟的DNSChanger程序,根据其编程语言特性我们将它们分别命名为Shell DNSChanger,Js DNSChanger,PyPhp DNSChanger。目前这3套DNSChanger程序由同一个恶意软件团伙运营,其中以PyPhp DNChanger部署规模最大。根据其功能特性,我们将它们统一命名为DNSChanger System。 事实上DNSChanger System是该恶意软件软件团伙运营系统中的一个子系统,其它还包括:Phishing Web System,Web Admin System,Rogue
GhostDNS 70+ different types of home routers(all together 100,000+) are being hijacked by GhostDNS note:We have informed various ISPs on the IoC list, and OVH, ORACLE, Google, Microsoft have taken down the related IPs and some others are working on it (Thanks!) Background introduction DNSchanger is
adbminer Fbot, A Satori Related Botnet Using Block-chain DNS System Since 2018-09-13 11:30 UTC, a new botnet (we call it Fbot) popped up in our radar which really caught our attention. There are 3 interesting aspects about this new botnet: First, so
adbminer Fbot,一个Satori相关的、基于区块链DNS的蠕虫 从2018-09-13 11:30 UTC开始,我们首次注意到一个新的蠕虫正在清理 com.ufo.miner。在完成了清理动作后,该蠕虫会等待来自C2(musl.lib,66.42.57.45:7000, Singapore/SG)的下一步指令。我们将该蠕虫命名为fbot,主要是因为该蠕虫的主要执行模块使用了这个名字。该C2域名的解析,需要通过EmerDNS,一个emercoin.com旗下的区块链DNS完成。 com.ufo.miner 与我们之前多次 报告 的 ADB.
XMR CryptoCurrency A New Mining Botnet Blends Its C2s into ngrok Service Overview These days, it feels like new mining malwares are popping up almost daily and we have pretty much stopped blogging the regular ones so we don’t flood our readers’ feed. With
XMR CryptoCurrency 利用ngrok传播样本挖矿 概述 "链治百病,药不能停"。时下各种挖矿软件如雨后春笋层出不穷,想把他们都灭了,那是不可能的,这辈子都不可能的。通常我们都忽略他们。但这个利用ngrok生成大量随机域名作为Downloader和Report域名,对抗安全设施阻断其域名,隐藏真实服务器地址的挖矿恶意样本成功的引起了我们的注意。 该恶意样本的主要特点是: 使用ngrok定期更换的随机域名作为Downloader和Report域名。 利用redis,docker,jenkins,drupal,modx,CouchDB漏洞植入xmr挖矿程序挖矿。 企图扫描以太坊客户端,盗取以太币,当前未实际启用。 企图感染目标设备上的js文件,植入CoinHive挖矿脚本浏览器挖矿。 动态生成挖矿脚本和扫描脚本。 该挖矿样本主要模块由Scanner脚本,Miner脚本,Loader构成。Scanner模块负责扫描和上报漏洞信息给Loader。Loader负责给存在漏洞的设备植入Scanner和Miner。Miner负责挖矿。
MikroTik 窃听风云: 你的MikroTik路由器正在被监听 背景介绍 MikroTik是一家拉脱维亚公司,成立于1996年,致力于开发路由器和无线ISP系统。MikroTik现在为世界上大多数国家/地区的互联网连接提供硬件和软件。在1997年,MikroTik创建了RouterOS软件系统,在2002年,MikroTik决定制造自己的硬件并创建了RouterBOARD品牌,每个RouterBOARD设备都运行RouterOS软件系统。[1] 根据维基解密披露的CIA Vault7黑客工具Chimay Red涉及到2个漏洞利用,其中包括Winbox任意目录文件读取(CVE-2018-14847)和Webfig远程代码执行漏洞。[2] Winbox是一个Windows GUI应用程序,Webfig是一个Web应用程序,两者都是RouterOS一个组件并被设计为路由器管理系统。Winbox和Webfig与RouterOS的网络通信分别在TCP/8291端口上,TCP/80或TCP/8080等端口上。[3] [4] 通过360Netlab Anglerfish蜜罐系统,我们观察到恶意软件正在利用MikroTik
MikroTik 7,500+ MikroTik Routers Are Forwarding Owners’ Traffic to the Attackers, How is Yours? [Update] 2018-09-05 11:00 GMT+8, with the generous help from the AS64073, 103.193.137.211 has been promptly suspended and is no longer a threat. Overview MikroTik is a Latvian company
DDG Threat Alert: DDG 3013 is Out DDG is a mining botnet mainly focusing on SSH, Redis databases and OrientDB database servers. We captured the first DDG botnet on October 25, 2017, and subsequently released several reports. A recent report
DDG 威胁快讯:DDG 3013 版本 DDG 是一个专注于扫描控制 SSH 、 Redis数据库 和 OrientDB数据库 服务器,并攫取服务器算力挖矿(门罗币)的僵尸网络。我们在2017年10月25日首次感知到 DDG僵尸网络,并在随后发布了多份报告。最近的一篇 报告 发布于 2018-06,当时 DDG 的版本更新到 3012。 今晨,我们注意到 DDG 更新到版本 3013。 IoC C2 149.56.106.215:8000
Botnet Malicious Campaign luoxk Is Actively Exploiting CVE-2018-2893 Author: Zhang Zaifeng, yegenshen, RootKiter, JiaYu On July 18, in an officially released routine patch update, Oracle fixed CVE-2018-2893, an Oracle WebLogic Server remote code execution vulnerability. Three days later, at 2018-07-21 11:
Botnet 恶意代码团伙luoxk正在积极利用 CVE-2018-2893 传播 文章作者:Zhang Zaifeng, yegenshen, RootKiter, JiaYu 7月18日,Oracle在官方发布的例行补丁更新中修复了CVE-2018-2893,一个Oracle WebLogic Server 远程代码执行漏洞。一般认为漏洞影响严重且相关PoC已经公开,建议相关用户尽快进行评估升级。 三天后,2018-07-21 11:24:31 开始,我们注意到一个长久以来我们跟踪的恶意代码团伙正在积极利用该漏洞传播自身。由于该团伙经常使用 luoxkexp[.]com ,我们将其命名为 luoxk 。 该恶意代码团伙第一次触发我们的警铃是在一年前的2017年3月17日,我们的DNSMon系统,在该恶意代码团伙域名注册后的第二天根据算法自动判断该域名异常。 在那以后,我们持续观察了该恶意代码团伙的行为,包括: DDoS攻击:
HNS HNS Botnet Recent Activities Author: Rootkiter, yegenshen HNS is an IoT botnet (Hide and Seek) originally discovered by BitDefender in January this year. In that report, the researchers pointed out that HNS used CVE-2016-10401, and other vulnerabilities
Botnet HNS Botnet 最近活动更新 作者:Rootkiter, yegenshen HNS 僵尸网络(Hide and Seek) 是最初由 BitDefender 于今年 1月 报告 的一个IoT僵尸网络。在那份报告中研究人员指出,HNS 会利用CVE-2016-10401、其他漏洞以及Telnet弱口令投入恶意代码,有执行任意指令和盗取用户信息的恶意行为,传播方式类似蠕虫,感染规模在1月23日至1月24期间快速增长到超过32k。并且,HNS内部通过P2P 机制通信,这是我们所知继 hajime之后第二个利用P2P通信的IoT僵尸网络。 P2P类的僵尸网络很难被根除,HNS 僵尸网络也是如此。在过去的几个月中 HNS 僵尸网络一直在持续更新,我们看到其更新活动包括:
Botnet 威胁快讯:一次僵尸挖矿威胁分析 友商发布了一个威胁分析 报告,我们阐述一下从我们的角度看到的情况。 核心样本 hxxp://120.55.54.65/a7 核心样本是个 Linux Shell 文件,后续动作均由该样本完成,包括: 挖矿获利 确保资源 逃避检测 横向扩展 挖矿获利 具体的挖矿动作是由下面一组样本完成的: hxxps://www.aybc.so/ubuntu.tar.gz hxxps://www.aybc.so/
