DDoS

EwDoor僵尸网络,正在攻击美国AT&T用户

背景介绍 2021年10月27日,我们的BotMon系统发现有攻击者正通过CVE-2017-6079漏洞攻击Edgewater Networks设备,其payload里有比较罕见的mount文件系统指令,这引起了我们的兴趣,经过分析,我们确认这是一个全新的僵尸网络家族,基于其针对Edgewater产商、并且有Backdoor的功能,我们将它命名为EwDoor。 最初捕获的EwDoor使用了常见的硬编码C2方法,同时采用了冗余机制,单个样本的C2多达14个。Bot运行后会依次向列表中的C2发起网络请求直到成功建立C2会话。这些C2中多数为域名形式,有趣的是它们多数还未来得及注册,因此我们抢注了第二个域名iunno.se以获取Bot的请求。但一开始连接到我们域名的Bot非常少,因为大多数Bot都成功和第一个C2(185.10.68.20)建立连接,这让我们有些许"沮丧"。 转机发生在2021年11月8日,当天7点到10点EwDoor的第一个C2185.10.

  • Alex.Turing
    Alex.Turing
  • Hui Wang
    Hui Wang
18 min read
DNS

白名单之殇:Specter僵尸网络滥用ClouDNS服务,github.com无辜躺枪

摘要 威胁情报的应用,始终存在着“漏报”和“误报”的平衡,为了减少可能的误报带来的业务影响,你的威胁情报白名单中是否静静的躺着 www.apple.com、www.qq.com、www.alipay.com 这样的流行互联网业务域名呢?你的机器学习检测模型,依照历史流量,是否会自动对 .qq.com、.alipay.com 这样的流量行为增加白权重呢? 但安全是对抗,白帽子想“判黑”,黑客想“洗白”。我们看到的白,

  • Hui Wang
    Hui Wang
  • Alex.Turing
    Alex.Turing
  • litao3rd
  • YANG XU
    YANG XU
11 min read

快讯:利用namesilo Parking和Google的自定义页面来传播恶意软件

摘要 近期,我们发现一个GoELF可疑样本,分析得知是一个downloder,主要传播挖矿。有意思的地方在于传播方式,利用了namesilo的Parking页面,以及Google的用户自定义页面来传播样本及配置,从而可以躲避跟踪。 该样本最开始被友商腾讯安全团队捕获,不过传播链条分析中,对namesilo parking域名的分析不太准确。往往大家以为,域名停靠期间(Domain Parking),页面显示内容是被域名停靠供应商强制限定的,域名实际拥有者并不能修改其页面内容。但在这个案例中,域名停靠供应商允许域名拥有者自定义停靠页面。攻击者利用了这一点,再加上Google提供的自定义页面来传播自己的木马。 这样做有两个显而易见的好处:一方面攻击者几乎不需要为恶意代码的传播付出任何带宽和服务器的费用;另一方面攻击者将自己的恶意行为隐藏在大型互联网基础服务供应商的巨大流量中,所谓大隐于市,以此隐藏自己的行踪使得更难被检测和追踪。 在我们的DNSMon/DTA监测数据中显示,这种趋势在最近几月有上升迹象,值得安全社区注意。 缘起

  • Alex.Turing
    Alex.Turing
  • Hui Wang
    Hui Wang
  • YANG XU
    YANG XU
5 min read
DDoS

僵尸网络Abcbot的进化之路

背景 业务上云、安全上云是近年来业界的发展趋势之一。360Netlab 从自身擅长的技术领域出发,也在持续关注云上安全事件和趋势。下面就是我们近期观察到的一起,被感染设备IP来自多个云供应商平台的安全事件。 2021年7月14日,360BotMon系统发现一个未知的ELF文件(a14d0188e2646d236173b230c59037c7)产生了大量扫描流量,经过分析,我们确定这是一个Go语言实现的Scanner,基于其源码路径中"abc-hello"字串,我们内部将它命名为Abcbot。 Abcbot在当时的时间节点上功能比较简单,可以看成是一个攻击Linux系统的扫描器,通过弱口令&Nday漏洞实现蠕虫式传播。一个有意思的事情是,Abcbot的源码路径中有“dga.go”字串,但是在样本中并没有发现相关的DGA实现,我们推测其作者会在后续的版本中补上这个功能,这让我们对这个家族多了几分留意。

  • Alex.Turing
    Alex.Turing
  • Hui Wang
    Hui Wang
13 min read
0-day

Mirai_ptea_Rimasuta变种正在利用RUIJIE路由器在野0DAY漏洞传播

版权 版权声明:本文为Netlab原创,依据 CC BY-SA 4.0 许可证进行授权,转载请附上出处链接及本声明。 概述 2021年7月我们向社区公布了一个通过KGUARD DVR未公开漏洞传播的僵尸网络Mirai_ptea,一开始我们认为这是一个生命短暂的僵尸网络,不久就会消失不见,因此只给了它一个通用的名字。但很显然我们小看了这个家族背后的团伙,事实上该家族一直非常活跃,最近又观察到该家族正在利用RUIJIE NBR700系列路由器的在野0day漏洞传播。 比较有意思的是,该家族的作者曾经在某次更新的样本中加入了这么一段话吐槽我们的mirai_ptea命名: -_- you guys didnt pick up on the

  • Hui Wang
    Hui Wang
  • Alex.Turing
    Alex.Turing
  • YANG XU
    YANG XU
14 min read
Botnet

Mozi已死,余毒犹存

背景 360NETLAB于2019年12月首次披露了Mozi僵尸网络,到现在已有将近2年时间,在这段时间中,我们见证了它从一个小规模僵尸网络发展为巅峰时占据了极高比例IOT流量巨无霸的过程。 现在Mozi的作者已经被执法机关处置,其中我们也全程提供了技术协助,因此我们认为后续在相当长的一段时间内它都不会继续更新。但我们知道,Mozi采用了P2P网络结构,而P2P网络的一大“优点”是健壮性好, 即使部分节点瘫痪,整个网络仍然能工作。所以即使Mozi作者不再发布新的更新,它仍然会存活一段时间,残余的节点仍然会去感染其它存在漏洞的设备,所以我们现在仍然能看到Mozi在传播,正可谓“百足之虫,死而不僵”。 许多安全厂商都对Mozi进行了跟踪分析,但从我们的角度而言,或多或少有些遗漏,甚至有错误。今天我们将对Mozi的看法总结在下面这篇文章里,以补充安全社区的分析;同时也为我们对Mozi僵尸网络的持续关注画上一个句号。 本文将回答以下问题: 1:Mozi除Bot节点外还有别的功能节点吗? 2:

  • Alex.Turing
    Alex.Turing
  • Hui Wang
    Hui Wang
  • Genshen Ye
    Genshen Ye
14 min read
Backdoor

窃密者Facefish分析报告

背景介绍 2021年2月,我们捕获了一个通过CWP的Nday漏洞传播的未知ELF样本,简单分析后发现这是一个新botnet家族的样本。它针对Linux x64系统,配置灵活,并且使用了一个基于Diffie–Hellman和Blowfish的私有加密协议。但因为通过合作机构(在中国区有较好网络通信观察视野)验证后发现对应的C2通信命中为0,所以未再深入分析。 2021年4月26号,Juniper发布了关于此样本的分析报告,我们注意到报告中忽略了一些重要的技术细节,所以决定将漏掉的细节分享出来。 该家族的入口ELF样本MD5=38fb322cc6d09a6ab85784ede56bc5a7是一个Dropper,它会释放出一个Rootkit。因为Juniper并未为样本定义家族名,鉴于Dropper在不同的时间点释放的Rootkit有不同的MD5值,犹如川剧中的变脸,并且该家族使用了Blowfish加密算法,我们将它命名为Facefish。 Facefish概览 Facefish由Dropper和Rootkit 2部分组成,主要功能由Rootkit模块决定。Rootkit工作在Ring3层,利用LD_PRELOAD特性加载,通过Hook

  • Alex.Turing
    Alex.Turing
  • jinye
    jinye
  • Chai Linyuan
    Chai Linyuan
17 min read
Botnet

“双头龙”源自海莲花组织?

我们的双头龙blog发布后引起了较大反响,除了媒体转载,一些安全同行还纷纷在我们blog下面留言和提问,其中5月4号的一则留言提到双头龙跟海莲花(OceanLotus)样本的C2行为有联系: 留言所提到的样本为一个zip打包文件,2016年就已出现。该zip可以解压出多个文件,那个名为Noi dung chi tiet(对应中文详细信息)的Mach-O格式可执行文件即是海莲花样本。对比分析显示该样本确实与双头龙样本存在多个相似之处,所以它们或许可以解开双头龙的身世之谜:它极可能是海莲花的Linux版本。本文主要从2进制代码层面介绍这些相似点。 相似点1:C2会话建立函数 Linux常见的域名解析函数为gethostbyname(),但双头龙使用了相对小众的getaddrinfo()函数,C2域名的解析和会话建立都在一个函数中完成,而海莲花样本中也存在一个模式类似的相同功能的函数,2者的函数对比如下: 能看出来它们不但功能相同,对sprintf()和getaddrinfo()的使用方式也几乎一模一样。此外,双头龙和海莲花都使用了单独的数据结构来保存C2会话信息,

  • Alex.Turing
    Alex.Turing
6 min read
Botnet

双头龙(RotaJakiro),一个至少潜伏了3年的后门木马

版权 版权声明:本文为Netlab原创,依据 CC BY-SA 4.0 许可证进行授权,转载请附上出处链接及本声明。 概述 2021年3月25日,360 NETLAB的BotMon系统发现一个的VT 0检测的可疑ELF文件(MD5=64f6cfe44ba08b0babdd3904233c4857),它会与4个业务类型截然不同的域名进行通信,端口均为TCP 443(HTTPS),但流量却并非TLS/SSL类型,这个异常行为引起了我们的兴趣,进一步分析发现它是一个针对Linux X64系统的后门木马,该家族至少已经存在3年但目前还是0检测。基于该家族使用rotate加密,并且运行后对root/non-root账户有不同的行为,犹如一只双头龙,一体双向,我们将它命名为RotaJakiro。

  • Alex.Turing
    Alex.Turing
  • Hui Wang
    Hui Wang
16 min read
New Threat

新威胁:ZHtrap僵尸网络分析报告

版权 版权声明:本文为Netlab原创,依据 CC BY-SA 4.0 许可证进行授权,转载请附上出处链接及本声明。 概述 从2021年2月28日起,360网络安全研究院的BotMon系统检测到IP(107.189.30.190)在持续传播一批未知ELF样本。经分析,我们确认这些样本隶属于一个新的botnet家族,结合其运行特点,我们将其命名为ZHtrap,本文对其做一分析,文章要点如下: ZHtrap的传播使用了4个Nday漏洞,主要功能依然是DDoS和扫描,同时集成了一些后门功能。 Zhtrap能将被感染设备蜜罐化,目的是提高扫描效率。 Zhtrap感染受害主机后会禁止运行新的命令,以此实现彻底控制和独占该设备。 在C2通信上,ZHtrap借鉴了套娃,

  • Alex.Turing
    Alex.Turing
  • liuyang
  • YANG XU
    YANG XU
15 min read
Botnet

Fbot僵尸网络正在攻击交通和运输智能设备

背景介绍 Fbot是一个基于Mirai的僵尸网络,它一直很活跃,此前我们曾多次披露过该僵尸网络[1][2]。我们已经看到Fbot僵尸网络使用了多个物联网(Internet of things)设备的N-day漏洞和0-day漏洞(部分未披露),现在它正在攻击车联网(Internet of Vehicles)领域的智能设备,这是一个新现象。 2021年2月20号,360网络安全研究院未知威胁检测系统监测到攻击者正在使用美国Iteris, Inc.公司的Vantage Velocity产品的远程命令执行漏洞(CVE-2020-9020)[3][4],传播Fbot僵尸网络样本。 据维基百科介绍[5],Iteris, Inc.公司为智能移动基础设施管理提供软件和咨询服务,包括软件即服务以及托管和咨询服务,

  • Genshen Ye
    Genshen Ye
  • Alex.Turing
    Alex.Turing
7 min read