Hui Wang

Hui Wang

35 posts
Botnet

双头龙(RotaJakiro),一个至少潜伏了3年的后门木马

版权 版权声明:本文为Netlab原创,依据 CC BY-SA 4.0 许可证进行授权,转载请附上出处链接及本声明。 概述 2021年3月25日,360 NETLAB的BotMon系统发现一个的VT 0检测的可疑ELF文件(MD5=64f6cfe44ba08b0babdd3904233c4857),它会与4个业务类型截然不同的域名进行通信,端口均为TCP 443(HTTPS),但流量却并非TLS/SSL类型,这个异常行为引起了我们的兴趣,进一步分析发现它是一个针对Linux X64系统的后门木马,该家族至少已经存在3年但目前还是0检测。基于该家族使用rotate加密,并且运行后对root/non-root账户有不同的行为,犹如一只双头龙,一体双向,我们将它命名为RotaJakiro。
  • Alex.Turing
    Alex.Turing
  • Hui Wang
    Hui Wang
16 min read
DDoS

新威胁:能云端化配置C2的套娃(Matryosh)僵尸网络正在传播

版权 版权声明:本文为Netlab原创,依据 CC BY-SA 4.0 许可证进行授权,转载请附上出处链接及本声明。 背景 2021年1月25日,360网络安全研究院的BotMon系统将一个可疑的ELF文件标注成Mirai,但网络流量却不符合Mirai的特征。这个异常引起了我们的注意,经分析,我们确定这是一个复用了Mirai框架,通过ADB接口传播,针对安卓类设备,主要目的为DDoS攻击的新型僵尸网络。它重新设计了加密算法,通过DNS TXT的方式从远程主机获取TOR C2以及和C2通信所必须的TOR代理。 这个僵尸网络实现的加密算法以及获取C2的过程都是一层层嵌套,像俄罗斯套娃一样,基于这个原因,我们将它命名为Matryosh。 每天都有脚本小子拿着Mirai的源码进行魔改,想着从DDoS黑产赚上一笔。Matryosh会是这样的作品吗?随着分析的深入,更多细节浮出水面,
  • Alex.Turing
    Alex.Turing
  • Hui Wang
    Hui Wang
  • liuyang
10 min read
0-day

Moobot 在野0day利用之UNIXCCTV DVR命令注入

本报告由国家互联网应急中心(CNCERT)与北京奇虎科技有限公司(360)共同发布 概述 Moobot是一个基于Mirai开发的僵尸网络,自从其出现就一直很活跃,并且拥有0day漏洞利用的能力。我们有多篇和该botnet相关的文章,感兴趣的读者可以去阅读[1][2][3]。本文主要介绍CNCERT和360公司共同发现的Moobot针对UNIXCCTV DVR/NVR设备的0day利用。关于该漏洞的详细细节我们通知了厂家,并且确认当前厂家已经修复了该漏洞,发布了相应的补丁[ALL265 unix 2.3.7.8B09][NVR unix 2.3.7.8B05][ALL
  • Hui Wang
    Hui Wang
  • Alex.Turing
    Alex.Turing
9 min read
Botnet

Linux.Ngioweb变种正在攻击IOT设备

背景介绍 2019年6月21日,我们向社区公布了一个新的Proxy Botnet,Linux.Ngioweb的分析报告。 2020年8月4日,360Netlab未知威胁检测系统捕获到一批VT零检测的疑似Ngioweb的ELF文件,经分析,我们确定它们属于同一个变种,简单地将其命名为Ngioweb V2。 2020年8月16日,360Netlab蜜罐系统发现攻击者陆续使用了9个Nday漏洞传播Ngioweb V2样本,涉及到x86(32/64), ARM(32/64), MIPS(MIPS32/MIPS-III) 以及 PPC,Hitachi SH,IBM S/390等CPU架构,标志着Ngioweb开始攻击IOT设备。同时支持众多的CPU架构,
  • Alex.Turing
    Alex.Turing
  • Hui Wang
    Hui Wang
35 min read
IoT

幽灵在行动:Specter分析报告

背景 2020年8月20日,360Netlab未知威胁检测系统捕获了一个通过漏洞传播可疑ELF文件(22523419f0404d628d02876e69458fbe.css),其独特的文件名,TLS网络流量以及VT杀软0检出的情况,引起了我们的兴趣。 经过分析,我们确定它是一个配置灵活,高度模块化/插件化,使用TLS,ChaCha20,Lz4加密压缩网络通信,针对AVTECH IP Camera / NVR / DVR 设备的恶意家族,我们捕获的ELF是Dropper,会释放出一个Loader,而Loader则会通过加密流量向C2请求各种Plugin以实现不同的功能。样本build路径为/build/arm-specter-linux-uclibcgnueabi,所以我们命名为Specter。 目前来看,Specter有很多不专业的地方,比如,它在释放Loader的同时也释放2个运行时所需要的库,但它们都是dynamically
  • Alex.Turing
    Alex.Turing
  • Hui Wang
    Hui Wang
11 min read
千面人:Bigviktor 分析报告
Botnet

千面人:Bigviktor 分析报告

概览 2020年6月17日,360Netlab未知威胁检测系统发现一个低检测率的可疑ELF文件(dd7c9d99d8f7b9975c29c803abdf1c33),目前仅有一款杀毒引擎检测识别;同时流量检测系统将其产生的部分流量标注了疑似DGA,这引起了我们的注意。经过详细分析,我们确定这是一个通过CVE-2020-8515漏洞传播,针对DrayTek Vigor路由器设备,拥有DGA特性,主要功能为DDos攻击的新僵尸网络的Bot程序。因为传播过程中使用的"viktor"文件名(/tmp/viktor)以及样本中的0xB16B00B5(big boobs)字串,我们将其命名为Bigviktor。 从网络层面来看,Bigviktor遍历DGA每月产生的1000个随机域名,通过请求RC4加密&ECSDA256签名的s.jpeg来确认当前存活的有效C2,然后向C2请求image.jpeg,
  • Alex.Turing
    Alex.Turing
  • Hui Wang
    Hui Wang
22 min read
Botnet

LeetHozer Botnet分析报告

背景 2020年3月26日我们捕获了一个可疑的样本 11c1be44041a8e8ba05be9df336f9231,大部分杀毒引擎将其识别为Mirai,但是其网络流量却不符合Mirai的特征,这引起了注意,经分析,这是一个复用了Mirai的Reporter,Loader机制,重新设计了加密方法以及C2通信协议的Bot程序。 Mirai已经是安全社区非常熟悉的老朋友,蜜罐系统每天都能捕获大量的Mirai变种,这些变种都非常简单:要么是换一换C2;要么改一改加密的Key;要么集成些新的漏洞扫描……这些入门级的DDoser已经不能引起我们的任何兴趣了。这个Bot程序之所以能在众多变种脱颖而出,一是因为它独特的的加密方法,严谨的通信协议;二是因为在溯源过程中,我们发现它很有可能隶属于Moobot团伙而且正在迭代开发中(就在我们编写本文的同时作者更新了第三个版本,增加了一些新功能,更换了新的Tor CC vbrxmrhrjnnouvjf.onion:31337)。基于这些原因,我们决定将它曝光。因为传播过程中使用H0z3r字串(/bin/
  • Alex.Turing
    Alex.Turing
  • Hui Wang
    Hui Wang
14 min read
DDoS

那些和185.244.25.0/24网段有关的Botnet

根据我们的观察,过去几年185.244.25.0/24这个网段出现了超多的Botnet,包括但不仅限于mirai、gafgyt、tsunami、fbot、moobot、handymanny等,他们属于同一个组织或共享了相关代码。下表是过去一年我们关于该网段的一些统计数据。可以看出该网段有很多的CC和攻击行为。 Count of CC (host:port) Count of attack target host Count of downloader IP Count of loader IP
  • Hui Wang
    Hui Wang
  • Alex.Turing
    Alex.Turing
  • LIU Ya
  • Genshen Ye
    Genshen Ye
9 min read
Botnet

那些总是想要和别人强行发生关系的僵尸网络之Emptiness

背景 2019年06月23日我们捕获了一个全新的DDoS僵尸网络样本,因其启动时设置的进程名以及C2中有emptiness字样,所以我们将其命名为Emptiness。Emptiness由golang编写,当前发现的样本包括Windows和Linux两种平台版本。在溯源过程中,我们发现其作者长期维护着一个mirai变种僵尸网络,早期的Emptiness自身没有传播能力只有DDoS功能,是由mirai loader来完成样本植入的,后期的版本增加了ssh扫描功能,可独立完成Emptiness自身样本的传播。我们还注意到其不断修改mirai变种和Emptiness的CC协议,也许是为了对抗安全研究人员跟踪其僵尸网络攻击行为。 Emptiness的那些事 我们猜测其最早出现时间应该是2019年06月09日,遗憾的是当时我们并没有成功下载到http:[//blogentry.hopto.org/emptiness相关的样本。下图是我们捕获这个URL的时间, 2019-06-23日我们首次捕获到该僵尸网络样本v1版本 2019-06-26日我们首次捕获到该僵尸网络样本v1.1版本 2019-07-03日我们曝光了其DDoS攻击行为 2019-07-06作者更新v2版本样本,并在样本中留下了一匹"羊驼"。表示想要和我们强行发生关系。
  • Hui Wang
    Hui Wang
  • Alex.Turing
    Alex.Turing
7 min read
DDoS

FBot 新进展

【更新:2019年12月4日】近期我们多次收到针对本blog的询问。我们决定将一些事实补充列出如下: ——Kenneth Crurrin Schuchman,绰号 Nexus-Zeta,一名21岁的年轻人,已经于2019年9月3日向美国阿拉斯加区域法庭认罪。Schuchman的认罪书表明,Schuchman及其同谋者通过感染大批设备,创建了一系列僵尸网络,包括 Satori,Okiru,Masuta,Tsunami,Fbot,并利用这些僵尸网络的DDoS破坏力牟利; ——本 Blog 中涉及到的脆弱性并非发生在 Hisilicon。通过后续分析以及安全社区交流,我们确认该脆弱性发生在华为海思的供应链下游厂商。为了保护最终客户的利益,我们决定不公开脆弱性细节、攻击者使用的载荷或者具体厂商名字; ——华为 PSIRT 对我们披露的安全事件,
  • Genshen Ye
    Genshen Ye
  • Hui Wang
    Hui Wang
  • RootKiter
    RootKiter
8 min read