Botnet

那些总是想要和别人强行发生关系的僵尸网络之Emptiness

背景 2019年06月23日我们捕获了一个全新的DDoS僵尸网络样本,因其启动时设置的进程名以及C2中有emptiness字样,所以我们将其命名为Emptiness。Emptiness由golang编写,当前发现的样本包括Windows和Linux两种平台版本。在溯源过程中,我们发现其作者长期维护着一个mirai变种僵尸网络,早期的Emptiness自身没有传播能力只有DDoS功能,是由mirai loader来完成样本植入的,后期的版本增加了ssh扫描功能,可独立完成Emptiness自身样本的传播。我们还注意到其不断修改mirai变种和Emptiness的CC协议,也许是为了对抗安全研究人员跟踪其僵尸网络攻击行为。 Emptiness的那些事 我们猜测其最早出现时间应该是2019年06月09日,遗憾的是当时我们并没有成功下载到http:[//blogentry.hopto.org/emptiness相关的样本。下图是我们捕获这个URL的时间, 2019-06-23日我们首次捕获到该僵尸网络样本v1版本 2019-06-26日我们首次捕获到该僵尸网络样本v1.1版本 2019-07-03日我们曝光了其DDoS攻击行为 2019-07-06作者更新v2版本样本,并在样本中留下了一匹"羊驼"。表示想要和我们强行发生关系。

  • Hui Wang
    Hui Wang
  • Alex.Turing
    Alex.Turing
7 min read
Godlua

Godlua Backdoor分析报告

背景介绍 2019年4月24号,360Netlab未知威胁检测系统发现一个可疑的ELF文件,目前有一部分杀软误识别为挖矿程序。通过详细分析,我们确定这是一款Lua-based Backdoor,因为这个样本加载的Lua字节码文件幻数为“God”,所以我们将它命名为Godlua Backdoor。 Godlua Backdoor会使用硬编码域名,Pastebin.com,GitHub.com和DNS TXT记录等方式,构建存储C2地址的冗余机制。同时,它使用HTTPS加密下载Lua字节码文件,使用DNS over HTTPS获取C2域名解析,保障Bot与Web Server和C2之间的安全通信。 我们观察到Godlua Backdoor实际上存在2个版本,并且有在持续更新。我们还观察到攻击者会通过Lua指令,动态运行Lua代码,并对一些网站发起HTTP Flood

  • Alex.Turing
    Alex.Turing
  • yegenshen
    yegenshen
10 min read

Linux.Ngioweb分析报告

背景介绍 2019年5月27号,360Netlab 未知威胁检测系统发现一个可疑的ELF文件,目前仅有一款杀毒引擎检测识别。通过详细分析,我们确定这是一款Proxy Botnet,并且是Win32.Ngioweb[1]恶意软件的Linux版本变种,我们将它命名为Linux.Ngioweb。它与Win32.Ngioweb共用了大量代码,不同的是它新增了DGA特性。我们注册了其中一个DGA C2域名(enutofish-pronadimoful-multihitision.org),并对它进行Sinkhole处理以此来观察Bot连接情况。 此外,我们还观察到大量部署WordPress的Web服务器被植入Linux.Ngioweb 恶意软件。尽管Bot程序由Web容器对应的用户组运行并且权限很小但还是能够正常工作,并被充当Rotating Reverse Proxy[2]节点。 目前,

  • Alex.Turing
    Alex.Turing
  • yegenshen
    yegenshen
15 min read