Botnet

DGA家族Orchard持续变化,新版本用比特币交易信息生成DGA域名

DGA是一种经典的botnet对抗检测的技术,其原理是使用某种DGA算法,结合特定的种子和当前日期,定期生成大量的域名,而攻击者只是选择性的注册其中的极少数。对于防御者而言,因为难以事先确定哪些域名会被生成和注册,因而防御难度极大。 360 netlab长期专注于botnet攻防技术的研究,维护了专门的DGA算法和情报库,并通过订阅情报的方式与业界分享研究成果。近期我们在分析未知DGA域名时发现一例不但使用日期,还会同时使用中本聪的比特币账号交易信息来生成DGA域名的例子。因为比特币交易的不确定性,该技术比使用时间生成的DGA更难预测,因而防御难度更大。 该技术发现于一个名为Orchard的botnet家族。自从2021年2月份首次检测到该家族以来,我们发现它至少经历了3个版本的变化,中间甚至切换过编程语言。结合长期的跟踪结果和其它维度的信息,我们认为Orchard会是一个长期活跃、持续发展的botnet家族,值得警惕。本文将介绍Orchard的最新DGA技术,以及它这3个版本的发展过程。本文要点如下: Orchard是一个使用了DGA技术的botnet家族,核心功能是在受害者机器上安装各种恶意软件。 从2021年2月至今,我们先后检测到3个版本的Orchard样本,均使用了DGA技术。

  • daji
    daji
  • suqitian
    suqitian
18 min read
公有云威胁情报

公有云网络安全威胁情报(202204)

概述 本文聚焦于云上重点资产的扫描攻击、云服务器总体攻击情况分析、热门漏洞及恶意程序的攻击威胁。 360高级威胁狩猎蜜罐系统发现全球9.2万个云服务器IP进行网络扫描、漏洞攻击、传播恶意软件等行为。其中包括国内39家单位所属的云服务资产IP,这些单位涉及政府、医疗、建筑、军工等多个行业。 2022年4月,WSO2多个产品和Apache Struts2爆出高危漏洞,两个漏洞技术细节已经公开,并且我们发现两个漏洞都已有在野利用和利用漏洞传播恶意软件的行为。 本月共记录来源于云服务器的扫描和攻击会话3.7亿次,其中漏洞攻击会话2400万次,传播恶意软件会话77.2万次。 云上重点资产扫描攻击 四月份,我们共监测到全国39个公有云重点资产存在异常扫描及攻击行为。随着云服务的普及,云安全问题也随之越发突出。攻击者常常入侵云服务器,并利用被入侵机器继续发动攻击。4月份我们发现了国内39个云服务器重点IP具有异常扫描攻击行为,由此我们认为该重点IP可能被入侵。从行业分布看,

  • 360Netlab
12 min read
公有云威胁情报

公有云网络安全威胁情报(202203)

概述本文聚焦于云上重点资产的扫描攻击、云服务器总体攻击情况分析、热门漏洞及恶意程序的攻击威胁。360高级威胁狩猎蜜罐系统发现全球12万个云服务器IP,进行网络扫描、漏洞攻击、传播恶意软件等行为。其中包括国内156家单位的服务器IP,涉及大型央企、政府机关等行业。Spring厂商连续公开3个关键漏洞,CVE-2022-22947、CVE-2022-22963、CVE-2022-22965,本文将对前两个漏洞进行细节分析,第三个漏洞细节点此查看。本月共记录威胁攻击8亿次有余(其中包括漏洞攻击7.4亿余次、传播恶意软件超5500万次),新增IoC累计68万余个,其中针对IoT设备的漏洞攻击呈上升趋势。云上重点资产扫描攻击三月份,我们共监测到全国156个公有云重点资产存在异常扫描及攻击行为。随着业务不断上云,发生在公有云平台上的网络安全事件和威胁数量居高不下,国内重点行业包括但不限于我国的科研机构、大型企业、政府及事业单位成为攻击者的重点攻击对象,合计攻击源156个。根据所属云服务商来源,我们发现我国重点IP的云服务商以阿里云使用为主,其次为腾讯云。

  • 360Netlab
11 min read
Botnet

新威胁:闷声发大财的Fodcha僵尸网络

本报告由国家互联网应急中心(CNCERT)与三六零数字安全科技集团有限公司共同发布。 概述 近期,CNCERT和三六零数字安全科技集团有限公司共同监测发现一个新的且在互联网上快速传播的DDoS僵尸网络,通过跟踪监测发现其每日上线境内肉鸡数(以IP数计算)已超过1万、且每日会针对超过100个攻击目标发起攻击,给网络空间带来较大威胁。由于该僵尸网络最初使用的C2域名folded.in,以及使用chacha算法来加密网络流量,我们将其命名为Fodcha。 僵尸网络规模 通过监测分析发现,2022年3月29日至4月10日Fodcha僵尸网络日上线境内肉鸡数最高达到1.5万台,累计感染肉鸡数达到6.2万。每日境内上线肉鸡数情况如下。 Netlab按: 根据国外合作伙伴的数据,我们估算该家族全球日活肉鸡数量应该在5.6w+ Fodcha僵尸网络位于境内肉鸡按省份统计,排名前三位的分别为山东省(12.9%)、辽宁省(11.8%

  • Hui Wang
    Hui Wang
  • Alex.Turing
    Alex.Turing
  • YANG XU
    YANG XU
9 min read
DNSMon

俄乌危机中的数字证书:吊销、影响、缓解

背景 当前这场始于2021的俄乌危机已经注定载入史册,不仅因为危机中的冲突会对传统政治地缘产生深远影响,也因为这些冲突历史性的全面蔓延到网络空间。我们(360Netlab)从独立采集到的数据出发,观察分析并呈现冲突中各利益相关方采取的行动和反制行动,希望有利于安全社区思考自身在网络空间中的定位、态度和行动。 本文中的观察分析基于网络资产的SSL证书数据库CertDB,它是360Netlab 运营的网络空间基础数据之一,它采集了几乎全部活跃的网络空间中的网站证书。证书是整个现代webPKI系统的最核心的部分之一。如果说DNS数据标识了网络资产的地址,那么证书就是网络资产的身份证。丢失或者没有证书数据,就没有办法证明“我”就是“我”。因此作为互联网安全运营的基础数据,重要性不言而喻。 360Netlab同时运营着的网络空间基础数据库包括描述域名注册的WhoisDB、域名解析的PassiveDNS、网站页面的WebDB等等。这些基础数据库的条目以十亿或千亿为单位计,共同构成了用以描述全球网络空间变迁的DNSMon系统。 在CertDB的支持下,我们有足够坚实的数据基础来解读本次俄乌危机中俄罗斯网络空间中网站证书的变化情况。 3月初,乌克兰政府向互联网域名管理机构ICANN书面请求将俄罗斯相关顶级域名“

  • Zhang Zaifeng
    Zhang Zaifeng
28 min read
honeypot

Spring4Shell在野漏洞传播分析

背景介绍 2022年3月31号,Spring针对Spring4Shell漏洞(CVE-2022-22965)事件发布了安全公告[1],并提供了漏洞修复程序,此次漏洞事件在安全社区引起广泛关注。 360网络安全研究院高级威胁狩猎蜜罐系统[2]通过被动监测方式看到了该漏洞在野传播过程,我们也看到了Mirai僵尸网络入场,相关在野漏洞攻击威胁情报已通过自动化形式输出。 Spring4Shell 在野传播 360网络安全研究院高级威胁狩猎蜜罐系统持续监测到Spring4Shell漏洞(CVE-2022-22965)扫描和漏洞利用行为,部分源IP地理位置分布如下: 以下是Top 10 国家/地区统计列表 United States 92 The Netherlands 49 Germany 30 China 21

  • houliuyang
    houliuyang
  • 黄安欣
18 min read
DNSMon

商业数字证书签发和使用情况简介(删减版)

概要数字证书是整个现代webPKI系统的最核心的部分之一。如果说DNS数据标识了网络资产的地址,那么数字证书就是网络资产的身份证。没有,丢失或者被吊销数字证书,就没有办法证明“我”就是“我”。因此PKI系统及其数据已经成为网络真正的基础设施,作为互联网安全运营的基础数据,重要性不言而喻。 3月初,乌克兰政府向互联网域名管理结构ICANN书面请求将俄罗斯相关顶级域名“.ru”, “.рф” 和“.su”从互联网撤销[1],但ICANN并没有认同这份请求[2]。近日,我们注意到俄罗斯相关的一些国家基础设施网站的证书被证书机构陆续吊销。 360Netlab成立之后不久就通过主动、被动相结合的方式收集网络数字证书,并以此为基础构建了网络证书数据库CertDB。目前该库包含证书规模和涉及的IP端口数据达到十亿级,历史数据可追溯超过5年,是360Netlab基础数据分析系统DNSMon的重要组成部分。此外360Netlab同时运营着的网络空间基础数据库包括描述域名注册的WhoisDB、域名解析的PassiveDNS、网站页面的WebDB等等。

  • Zhang Zaifeng
    Zhang Zaifeng
14 min read
Botnet

新威胁:使用DNS Tunnel技术的Linux后门B1txor20正在通过Log4j漏洞传播

背景 自从Log4J漏洞被曝光后,正所谓"忽如一夜漏洞来,大黑小灰笑开怀”。无数黑产团伙摩拳擦掌加入了这个“狂欢派对”,其中既有许多业界非常熟悉的恶意软件家族,同时也有一些新兴势力想趁着这股东风在黑灰产上分一杯羹。360Netlab作为专注于蜜罐和Botnet检测跟踪的团队,我们自该漏洞被公开后就一直关注它会被哪些僵尸网络利用,期间我们看到了Elknot,Gafgyt,Mirai等老朋友的从不缺席,也见证了一些新朋友的粉墨登场。 2022年2月9日,360Netlab的蜜罐系统捕获了一个未知的ELF文件通过Log4J漏洞传播,此文件在运行时产生的网络流量引发了疑似DNS Tunnel的告警,这引起了我们的兴趣。经过分析,我们确定是一个全新的僵尸网络家族,基于其传播时使用的文件名"b1t",XOR加密算法,以及RC4算法秘钥长度为20字节,它被我们命名为B1txor20。 简单来说,B1txor20是一个针对Linux平台的后门木马, 它利用DNS

  • Alex.Turing
    Alex.Turing
  • Hui Wang
    Hui Wang
14 min read
公有云威胁情报

公有云网络安全威胁情报(202202)

1. 概述 17个云上重点资产有漏洞攻击行为,包括某民主党派市级委员会、某县级中医院等云上重点单位。 随着俄乌冲突全面升级,我们发现有攻击者利用Docker Remote API未授权访问漏洞,对俄罗斯境内服务器发起拒绝服务(DoS)网络攻击。 Apache APISIX本月爆出远程代码执行漏洞(CVE-2022-24112),攻击者通过两种攻击方式可远程执行恶意代码。 本文主要通过360网络安全研究院 Anglerfish蜜罐视角,分析云上热门漏洞攻击细节,以及云上重要资产在公网上发起攻击的情况。 2. 云上资产对外扫描攻击 2月份我们共发现17个命中蜜罐节点的重要单位的云上资产,下表为其中一部分案例,如果需要更多相关资料,请根据文末的联系方式与我们联系。 IP地址 云服务商 单位名称 所属行业 IP所在省份 漏洞利用 扫描协议

  • Rugang Chen
  • houliuyang
    houliuyang
9 min read
Botnet

我们近期看到的针对乌克兰和俄罗斯的DDoS攻击细节

在360Netlab(netlab.360.com),我们持续的通过我们的 BotMon 系统跟踪全球范围内的僵尸网络。特别的,对于DDoS 相关的僵尸网络,我们会进一步跟踪其内部指令,从而得以了解攻击的细节,包括攻击者是谁、受害者是谁、在什么时间、具体使用什么攻击方式。 最近俄乌局势紧张,双方的多个政府、军队和金融机构都遭到了DDoS攻击,我们也不断接收到安全社区的询问,咨询对于最近乌克兰和俄罗斯相关网站 (.ua .ru下属域名)遭受DDoS攻击的具体情况,因此我们特意整理相关数据供安全社区参考。 针对乌克兰的DDoS攻击 下图是我们看到的针对域名以.gov.ua结尾的政府网站的攻击趋势。 可以看到攻击最早始于2月12号,攻击数量和强度都在持续变大,在2月16日达到顶峰,攻击类型则混合了NTP放大、

  • 360Netlab
12 min read
DTA

用DTA照亮DNS威胁分析之路 (3)

--- 内置未知威胁分析模型介绍概述在系列文章2,介绍了如何利用DTA进行一轮完整的未知威胁分析,共有3个步骤: 1、提出分析思路,从DNS日志里找到可疑线索 2、确认可疑线索有威胁行为 3、借助DNS日志确认资产被感染 其中,这几个步骤里最为安全分析人员所熟悉的应该是步骤2,毕竟日常工作大家都少不了利用各家威胁情报平台、搜索引擎和云沙箱进行信息搜集+关联+确认可疑线索;而步骤1和3,因为涉及到DNS日志,对于不熟悉DNS的分析人员来说,是需要一定学习成本去积累相关分析经验和熟悉DTA的各类元数据的。因此,针对未知威胁分析,DTA预置了可疑心跳域名、可疑NOD(新出现在网络中的可疑域名)、可疑境外域名等等模型,这些模型以后台运行的方式自动完成上述3个步骤,当模型计算出某个域名存在威胁行为时,会在首页以威胁告警的方式通知分析人员有“未知威胁”类型的告警需要进一步分析。图-1

  • suqitian
    suqitian
10 min read
公有云威胁情报

公有云网络安全威胁情报(202201)

1. 概述 2022年的第一个月份,虽然没有爆发新的热门漏洞,且随着越来越多设备的Apache Log4j2漏洞被修复,12月开始的Apache Log4j2漏洞爆发也进入尾声,相关攻击源数量明显减少。但是,Docker Remote API未授权访问漏洞、美国飞塔(Fortinet)FortiOS未授权任意文件读取漏洞等旧漏洞的云服务器攻击源IP数量突然较12月大幅度增加。在第2部分,我们分析了这两个漏洞的攻击趋势和攻击方法。政府和企事业单位的云上资产方面,1月份共发现26个云上资产对外扫描攻击,其中某航天研究单位、某县级人民医院(都架设在阿里云上)等单位使用的云服务器IP在公网上发起攻击,值得关注。本文主要通过360网络安全研究院 Anglerfish蜜罐视角,分析云上热门漏洞攻击细节,以及云上重要资产在公网上发起攻击的情况。 2. 云上热门漏洞攻击威胁 本月没有爆发的新漏洞攻击,但值得注意的是,

  • Rugang Chen
  • houliuyang
    houliuyang
11 min read
公有云威胁情报

公有云网络安全威胁情报(202112)

1. 概述 云服务具备部署方便、资源灵活弹性、按需付费等优势,各类企业、政府、事业单位、高校和研究机构近年来都参与到了“上云”的潮流中。然而,随着越来越多各行各业的敏感数据“上云”,云安全问题的重要性和紧迫性也越发突出。近年来,全球云服务器被DDoS攻击、入侵、网站页面恶意修改、敏感数据泄露、加密勒索、恶意挖矿等安全事件频发,特别是提供公网服务的云主机,时时刻刻面临着漏洞攻击、暴力破解、Bot流量等云上网络威胁,这要求无论是云服务商还是云上用户都需要时刻做好威胁检测和处置的准备。 云安全的关键是“知己知彼”。“知己”就是做好云上资产、组件、数据和漏洞的管理,

  • Rugang Chen
14 min read
DTA

用DTA照亮DNS威胁分析之路 (2)

--- 对服务器网段进行未知威胁分析概述要进行网络威胁狩猎,或者低调点叫网络威胁分析,通常需要具备3个能力: 1、找到线索的能力。这里的能力是特指在无先验知识(IoC等)条件下,既尽可能无漏报又不会有太多误报地从海量数据里挖掘出线索; 2、确认线索是威胁的能力。线索是包含噪音的,需要去除噪音只留下有威胁的线索; 3、分辨资产被真实感染的能力。只有确认真实感染,才能保证后续的威胁处置动作有成果。 按:由于DTA也实现有“已知”威胁分析功能,但其用法和本文描述的操作细节相差甚远,为避免混淆,特此说明一下本文所有威胁分析的用词,都是指“未知”威胁分析。 在上一篇文章,我们提到DNS日志的优点是简单且重要。但正是福兮祸所倚,简单这个优点,从威胁分析的角度来讲它又成了最大的缺点,

  • suqitian
    suqitian
13 min read
DTA

用DTA照亮DNS威胁分析之路 (1)

--- “历史重现”小功能概述2021年10月,《七年一剑,360 DNS威胁分析平台》宣告了360 DNS威胁分析平台(简称DTA)的诞生。在文章开头,Netlab阐述了设计DTA的核心理念: 让情报发挥应有价值 让威胁分析真正有效 理念是简洁的,也是抽象的。18个字背后,对应着Neltab 7年的安全研究经验;而7年的沉淀,又在2年时间的打磨里,变成了DTA众多的功能。为了让抽象的理念具象化,后续,我们将推出一系列DTA相关博文,希望通过这些文章案例,在介绍产品某个具体功能如何使用的同时,顺带说明理念是怎样指导功能设计的;也希望这些示例,能为DTA的进阶使用者提供入门参考。需要提醒使用者的是,DTA是一款灵活的数据分析产品,它一端连接着用户网络的全量DNS数据,

  • suqitian
    suqitian
9 min read
Log4j

从蜜罐视角看Apache Log4j2漏洞攻击趋势

1 概述 Apache Log4j2是一个Java的日志库,可用于控制日志信息的级别和日志生成过程。最近,Apache Log4j2被曝出JNDI注入漏洞(CVE-2021-44228),攻击者仅需要向目标服务器发送特定JNDI链接就可以触发漏洞并在目标机器上执行任意代码,影响面和破坏力极大。受影响用户需及时升级到安全版本。 360网络安全研究院 Anglerfish蜜罐系统在搜集网络攻击威胁情报领域具有国际领先的技术优势。从2017年WannaCry勒索病毒爆发至今,我们通过对网络攻击常见套路的分析和总结,模拟了大量应用协议和漏洞特征。该系统已经具备及时发现并响应大网威胁的能力,在第一时间内发现了多起大规模网络攻击事件。 北京时间2021年12月10日凌晨0:20,距离漏洞公开不足一天,该系统就首次捕获到了Apache Log4j2漏洞相关攻击。截至12月17日,该系统共捕获2042个攻击源IP(其中中国250个,国外1792个)发起的利用Apache Log4j2漏洞的攻击72242次,攻击源IP涉及54个国家,发现132个攻击源IP利用该漏洞传播了属于30个恶意软件家族的617个已知恶意软件md5。 2

  • Rugang Chen
6 min read
Log4j

已有10个家族的恶意样本利用Log4j2漏洞传播

背景介绍 2021年12月11号8点整,我们率先捕获到Muhstik僵尸网络样本通过Log4j2 RCE漏洞传播,并首发披露Mirai和Muhstik僵尸网络在野利用详情[1]。 2天来,我们陆续又捕获到其它家族的样本,目前,这个家族列表已经超过10个,这里从漏洞、payload、攻击IP 和样本分析等几个维度介绍我们的捕获情况。 Apache Log4j2 漏洞攻击分布 360网络安全研究院大网蜜罐系统监测到Apache Log4j2 RCE漏洞(CVE-2021-44228)扫描及攻击,源IP地址地理位置分布如下: 国家/地区 攻击源IP数量 Germany 271 The Netherlands 143 China 134

  • 360Netlab
18 min read