Dacls

Lazarus Group使用Dacls RAT攻击Linux平台

背景介绍 2019年10月25号,360Netlab未知威胁检测系统发现一个可疑的ELF文件(80c0efb9e129f7f9b05a783df6959812)。一开始,我们以为这是在我们发现的Unknown Botnet中比较平凡的一个,并且在那时候VirusTotal上有2款杀毒引擎能够识别。当我们关联分析它的相关样本特征和IoC时,我们发现这个案例跟Lazarus Group有关,并决定深入分析它。 目前,业界也从未公开过关于Lazarus Group针对Linux平台的攻击样本和案例。通过详细的分析,我们确定这是一款功能完善,行为隐蔽并适用于Windows和Linux平台的RAT程序,并且其幕后攻击者疑似Lazarus Group。 事实上,这款远程控制软件相关样本早在2019年5月份就已经出现,目前在VirusTotal上显示被26款杀毒软件厂商识别为泛型的恶意软件,但它还是不为人所知,我们也没有找到相关分析报告。所以,我们会详细披露它的一些技术特征,并根据它的文件名和硬编码字符串特征将它命名为Dacls。 Dacls 概览 Dacls是一款新型的远程控制软件,包括Windows和Linux版本并共用C2协议,我们将它们分别命名为Win32.

  • jinye
    jinye
  • GenShen Ye
    GenShen Ye
16 min read
P2P

潜伏者:Roboto Botnet 分析报告

背景介绍 2019年8月26号,360Netlab未知威胁检测系统发现一个可疑的ELF文件(4cd7bcd0960a69500aa80f32762d72bc),目前在VirusTotal上显示仅有2款杀毒引擎检测识别。通过详细分析,我们确定这是一款基于P2P通信的Bot程序,并对它保持关注。 2019年10月11号,我们通过Anglerfish蜜罐捕获到另一个可疑的ELF样本(4b98096736e94693e2dc5a1361e1a720),并且正是那个可疑的ELF样本的Downloader。这个Downloader样本会从2个硬编码的HTTP链接中下载Bot程序,其中一个下载地址把这个Bot样本伪装成Google的一个字体库“roboto.ttc”,所以我们将这个Botnet命名为Roboto。 我们已经持续关注了Roboto Botnet近3个月的时间,并在本文披露它的一些技术特征。 Roboto Botnet概览 目前,我们捕获到了Roboto Botnet的Downloader和Bot模块。根据它的传播方式和Bot样本特征,我们推测它还存在漏洞扫描模块和P2P控制模块。 Roboto Botnet主要支持7种功能:反弹Shell,自卸载,获取进程网络信息,获取Bot信息,

  • Alex.Turing
    Alex.Turing
  • GenShen Ye
    GenShen Ye
15 min read
DDoS

那些和185.244.25.0/24网段有关的Botnet

根据我们的观察,过去几年185.244.25.0/24这个网段出现了超多的Botnet,包括但不仅限于mirai、gafgyt、tsunami、fbot、moobot、handymanny等,他们属于同一个组织或共享了相关代码。下表是过去一年我们关于该网段的一些统计数据。可以看出该网段有很多的CC和攻击行为。 Count of CC (host:port) Count of attack target host Count of downloader IP Count of loader IP

  • Hui Wang
    Hui Wang
  • Alex.Turing
    Alex.Turing
  • LIU Ya
  • GenShen Ye
    GenShen Ye
9 min read
Botnet

那些总是想要和别人强行发生关系的僵尸网络之Emptiness

背景 2019年06月23日我们捕获了一个全新的DDoS僵尸网络样本,因其启动时设置的进程名以及C2中有emptiness字样,所以我们将其命名为Emptiness。Emptiness由golang编写,当前发现的样本包括Windows和Linux两种平台版本。在溯源过程中,我们发现其作者长期维护着一个mirai变种僵尸网络,早期的Emptiness自身没有传播能力只有DDoS功能,是由mirai loader来完成样本植入的,后期的版本增加了ssh扫描功能,可独立完成Emptiness自身样本的传播。我们还注意到其不断修改mirai变种和Emptiness的CC协议,也许是为了对抗安全研究人员跟踪其僵尸网络攻击行为。 Emptiness的那些事 我们猜测其最早出现时间应该是2019年06月09日,遗憾的是当时我们并没有成功下载到http:[//blogentry.hopto.org/emptiness相关的样本。下图是我们捕获这个URL的时间, 2019-06-23日我们首次捕获到该僵尸网络样本v1版本 2019-06-26日我们首次捕获到该僵尸网络样本v1.1版本 2019-07-03日我们曝光了其DDoS攻击行为 2019-07-06作者更新v2版本样本,并在样本中留下了一匹"羊驼"。表示想要和我们强行发生关系。

  • Hui Wang
    Hui Wang
  • Alex.Turing
    Alex.Turing
7 min read
Botnet

一些Fiberhome路由器正在被利用为SSH隧道代理节点

背景介绍 2019年7月24号,360Netlab未知威胁检测系统发现一个可疑的ELF文件,目前在VirusTotal上还没有一款杀毒引擎检测识别。通过详细分析,我们确定这是一款针对Fiberhome路由器设备Reporter程序。它会定时获取设备IP等信息并上传给一个Web接口,以此来解决设备IP变更的问题。 我们还观察到攻击者在Windows和Linux平台上开发了相应的客户端程序,通过访问Web接口获取Reporter上报的设备IP等信息,然后使用一些预留的后门账号密码建立SSH隧道(Dynamic Port Forwarding),并在本地创建Socks5代理服务。我们根据攻击者使用的域名,将这些恶意软件统一命名为Gwmndy。 此外,与其他Botnet不同的是,攻击者并没有持续扩张Bot数量,我们猜测对于攻击者来说每天有180多个活跃的SSH隧道代理节点就已经满足他的需求了。 Gwmndy概览 Gwmndy恶意软件主要包括vpn.sh脚本,Reporter和SSH Client程序,并且通过一个Web服务器给它们提供相应的Web接口,用来传输Bot IP等相关信息。 Gwmndy样本分析 vpn.sh样本信息 MD5:

  • GenShen Ye
    GenShen Ye
6 min read
Godlua

Godlua Backdoor分析报告

背景介绍 2019年4月24号,360Netlab未知威胁检测系统发现一个可疑的ELF文件,目前有一部分杀软误识别为挖矿程序。通过详细分析,我们确定这是一款Lua-based Backdoor,因为这个样本加载的Lua字节码文件幻数为“God”,所以我们将它命名为Godlua Backdoor。 Godlua Backdoor会使用硬编码域名,Pastebin.com,GitHub.com和DNS TXT记录等方式,构建存储C2地址的冗余机制。同时,它使用HTTPS加密下载Lua字节码文件,使用DNS over HTTPS获取C2域名解析,保障Bot与Web Server和C2之间的安全通信。 我们观察到Godlua Backdoor实际上存在2个版本,并且有在持续更新。我们还观察到攻击者会通过Lua指令,动态运行Lua代码,并对一些网站发起HTTP Flood

  • Alex.Turing
    Alex.Turing
  • GenShen Ye
    GenShen Ye
10 min read

Linux.Ngioweb分析报告

背景介绍 2019年5月27号,360Netlab 未知威胁检测系统发现一个可疑的ELF文件,目前仅有一款杀毒引擎检测识别。通过详细分析,我们确定这是一款Proxy Botnet,并且是Win32.Ngioweb[1]恶意软件的Linux版本变种,我们将它命名为Linux.Ngioweb。它与Win32.Ngioweb共用了大量代码,不同的是它新增了DGA特性。我们注册了其中一个DGA C2域名(enutofish-pronadimoful-multihitision.org),并对它进行Sinkhole处理以此来观察Bot连接情况。 此外,我们还观察到大量部署WordPress的Web服务器被植入Linux.Ngioweb 恶意软件。尽管Bot程序由Web容器对应的用户组运行并且权限很小但还是能够正常工作,并被充当Rotating Reverse Proxy[2]节点。 目前,

  • Alex.Turing
    Alex.Turing
  • GenShen Ye
    GenShen Ye
15 min read
DNSMon

信用卡数据泄漏持续进行中 [快速更新]

DNSMon是一个全网DNS异常发现分析系统。基于我们可以看到的中国地区 10%+ 的DNS流量,加上我们多年积累的其他多维度安全数据以及安全分析能力,我们可以在一个独特的视角来实时监测 全网 每天 正在发生 的事情,我们可以 “看见” 正在发生的威胁。 黑客在行动 5月8号,我们发布文章 <信用卡数据泄漏持续进行中>,揭露了一个通过入侵购物网站来窃取信用卡信息的案例。文章发布后不久,我们发现黑客们开始做调整,原始域名 magento-analytics[.]com 已经下线。 但不久,我们的 DNSMon 系统在UTC时间 2019-05-13 凌晨时候捕捉到该黑客的2个更新,被用于同样的信用卡信息窃取。

  • YANG XU
    YANG XU
  • ba0jy
    ba0jy
3 min read
DDG

威胁快讯:DDG 近期更新(v3021/v3022版本)

1. 综述DDG 是一个专注于扫描控制 SSH 端口、 Redis 数据库 和 OrientDB 数据库服务器,并攫取服务器算力挖矿(门罗币)的僵尸网络。我们在 2017 年 10 月 25 日首次感知到 DDG 僵尸网络,并发布技术分析报告。之后 DDG 数次更新版本,我们也跟踪分析并发布数篇分析报告,报告列表如下,全部的报告列表在 这里:DDG.Mining.Botnet:

  • JiaYu
    JiaYu
10 min read
DDoS

FBot 新进展

【更新:2019年12月4日】近期我们多次收到针对本blog的询问。我们决定将一些事实补充列出如下: ——Kenneth Crurrin Schuchman,绰号 Nexus-Zeta,一名21岁的年轻人,已经于2019年9月3日向美国阿拉斯加区域法庭认罪。Schuchman的认罪书表明,Schuchman及其同谋者通过感染大批设备,创建了一系列僵尸网络,包括 Satori,Okiru,Masuta,Tsunami,Fbot,并利用这些僵尸网络的DDoS破坏力牟利; ——本 Blog 中涉及到的脆弱性并非发生在 Hisilicon。通过后续分析以及安全社区交流,我们确认该脆弱性发生在华为海思的供应链下游厂商。为了保护最终客户的利益,我们决定不公开脆弱性细节、攻击者使用的载荷或者具体厂商名字; ——华为 PSIRT 对我们披露的安全事件,

  • GenShen Ye
    GenShen Ye
  • Hui Wang
    Hui Wang
  • RootKiter
    RootKiter
15 min read