Hui Wang

Hui Wang

Botnet

双头龙(RotaJakiro),一个至少潜伏了3年的后门木马

版权 版权声明:本文为Netlab原创,依据 CC BY-SA 4.0 许可证进行授权,转载请附上出处链接及本声明。 概述 2021年3月25日,360 NETLAB的BotMon系统发现一个的VT 0检测的可疑ELF文件(MD5=64f6cfe44ba08b0babdd3904233c4857),它会与4个业务类型截然不同的域名进行通信,端口均为TCP 443(HTTPS),但流量却并非TLS/SSL类型,这个异常行为引起了我们的兴趣,进一步分析发现它是一个针对Linux X64系统的后门木马,该家族至少已经存在3年但目前还是0检测。基于该家族使用rotate加密,并且运行后对root/non-root账户有不同的行为,犹如一只双头龙,一体双向,我们将它命名为RotaJakiro。 RotaJakiro隐蔽性较强,对加密算法使用比较多,包括:使用AES算法加密样本内的资源信息;C2通信综合使用了AES,XOR,ROTATE加密和ZLIB压缩算法。指令方面,RotaJakiro支持12种指令码,其中3种是和特定plugin相关的,遗憾的是目前我们并没有捕获到这类pay
  • Alex.Turing
    Alex.Turing
  • Hui Wang
    Hui Wang
16 min read
DDoS

新威胁:能云端化配置C2的套娃(Matryosh)僵尸网络正在传播

版权 版权声明:本文为Netlab原创,依据 CC BY-SA 4.0 许可证进行授权,转载请附上出处链接及本声明。 背景 2021年1月25日,360网络安全研究院的BotMon系统将一个可疑的ELF文件标注成Mirai,但网络流量却不符合Mirai的特征。这个异常引起了我们的注意,经分析,我们确定这是一个复用了Mirai框架,通过ADB接口传播,针对安卓类设备,主要目的为DDoS攻击的新型僵尸网络。它重新设计了加密算法,通过DNS TXT的方式从远程主机获取TOR C2以及和C2通信所必须的TOR代理。 这个僵尸网络实现的加密算法以及获取C2的过程都是一层层嵌套,像俄罗斯套娃一样,基于这个原因,我们将它命名为Matryosh。 每天都有脚本小子拿着Mirai的源码进行魔改,想着从DDoS黑产赚上一笔。Matryosh会是这样的作品吗?随着分析的深入,更多细节浮出水面,根据C2指令的相似性,我们推测它是当下非常活跃的Moobot团伙的又一个尝试。 Matryosh没有集成扫描,漏洞利用的模块,主要功能为DDoS攻击,支持 tcpraw, icmpecho,
  • Alex.Turing
    Alex.Turing
  • Hui Wang
    Hui Wang
  • liuyang
10 min read
0-day

Moobot 在野0day利用之UNIXCCTV DVR命令注入

本报告由国家互联网应急中心(CNCERT)与北京奇虎科技有限公司(360)共同发布 概述 Moobot是一个基于Mirai开发的僵尸网络,自从其出现就一直很活跃,并且拥有0day漏洞利用的能力。我们有多篇和该botnet相关的文章,感兴趣的读者可以去阅读[1][2][3]。本文主要介绍CNCERT和360公司共同发现的Moobot针对UNIXCCTV DVR/NVR设备的0day利用。关于该漏洞的详细细节我们通知了厂家,并且确认当前厂家已经修复了该漏洞,发布了相应的补丁[ALL265 unix 2.3.7.8B09][NVR unix 2.3.7.8B05][ALL unixip 2.3.4.8B06]。友情提醒此类设备的用户及时更新设备固件。 时间线 * 2020-06-09 首次捕获到针对该漏洞的探测扫描 * 2020-06-24 首次捕获利用该漏洞传播的Moobot样本 * 2020-08-24 厂家发布补丁修复bug 漏洞利用过程 我们捕获的Moobot样本并不具有该漏洞的利用功能。Moobot通过Loader扫描8000端口,定位到目标设备
  • Hui Wang
    Hui Wang
  • Alex.Turing
    Alex.Turing
9 min read
Botnet

Linux.Ngioweb变种正在攻击IOT设备

背景介绍 2019年6月21日,我们向社区公布了一个新的Proxy Botnet,Linux.Ngioweb的分析报告。 2020年8月4日,360Netlab未知威胁检测系统捕获到一批VT零检测的疑似Ngioweb的ELF文件,经分析,我们确定它们属于同一个变种,简单地将其命名为Ngioweb V2。 2020年8月16日,360Netlab蜜罐系统发现攻击者陆续使用了9个Nday漏洞传播Ngioweb V2样本,涉及到x86(32/64), ARM(32/64), MIPS(MIPS32/MIPS-III) 以及 PPC,Hitachi SH,IBM S/390等CPU架构,标志着Ngioweb开始攻击IOT设备。同时支持众多的CPU架构,尝试众多Nday漏洞传播也彰显了其作者急欲扩张的企图。 2020年11月5日,友商IntezerLabs在VT上发现一个名为bins.october的压缩包,里面包含了多个编译器产生的50个Ngioweb样本,同样涉及全部的流行CPU架构。 基于Ngioweb长时间的活跃,VT上极低的检测率,以及开始攻击IOT设备等原因,我们
  • Alex.Turing
    Alex.Turing
  • Hui Wang
    Hui Wang
35 min read
IoT

幽灵在行动:Specter分析报告

背景 2020年8月20日,360Netlab未知威胁检测系统捕获了一个通过漏洞传播可疑ELF文件(22523419f0404d628d02876e69458fbe.css),其独特的文件名,TLS网络流量以及VT杀软0检出的情况,引起了我们的兴趣。 经过分析,我们确定它是一个配置灵活,高度模块化/插件化,使用TLS,ChaCha20,Lz4加密压缩网络通信,针对AVTECH IP Camera / NVR / DVR 设备的恶意家族,我们捕获的ELF是Dropper,会释放出一个Loader,而Loader则会通过加密流量向C2请求各种Plugin以实现不同的功能。样本build路径为/build/arm-specter-linux-uclibcgnueabi,所以我们命名为Specter。 目前来看,Specter有很多不专业的地方,比如,它在释放Loader的同时也释放2个运行时所需要的库,但它们都是dynamically linked。又如下载的Plugin落在文件上再加载而不是在内存中直接展开加载。而且Dropper的传播是利用5年旧的老漏洞;但是在另外一方面,它
  • Alex.Turing
    Alex.Turing
  • Hui Wang
    Hui Wang
11 min read
千面人:Bigviktor 分析报告
Botnet

千面人:Bigviktor 分析报告

概览 2020年6月17日,360Netlab未知威胁检测系统发现一个低检测率的可疑ELF文件(dd7c9d99d8f7b9975c29c803abdf1c33),目前仅有一款杀毒引擎检测识别;同时流量检测系统将其产生的部分流量标注了疑似DGA,这引起了我们的注意。经过详细分析,我们确定这是一个通过CVE-2020-8515漏洞传播,针对DrayTek Vigor路由器设备,拥有DGA特性,主要功能为DDos攻击的新僵尸网络的Bot程序。因为传播过程中使用的"viktor"文件名(/tmp/viktor)以及样本中的0xB16B00B5(big boobs)字串,我们将其命名为Bigviktor。 从网络层面来看,Bigviktor遍历DGA每月产生的1000个随机域名,通过请求RC4加密&ECSDA256签名的s.jpeg来确认当前存活的有效C2,然后向C2请求image.jpeg,执行具体的任务;从功能层面来看,Bigviktor支持8种指令,可以分成2大功能 * DDoS攻击 * 自更新 其整体网络结构如图所示, Botnet规模 日活Bot
  • Alex.Turing
    Alex.Turing
  • Hui Wang
    Hui Wang
22 min read
Botnet

LeetHozer Botnet分析报告

背景 2020年3月26日我们捕获了一个可疑的样本 11c1be44041a8e8ba05be9df336f9231,大部分杀毒引擎将其识别为Mirai,但是其网络流量却不符合Mirai的特征,这引起了注意,经分析,这是一个复用了Mirai的Reporter,Loader机制,重新设计了加密方法以及C2通信协议的Bot程序。 Mirai已经是安全社区非常熟悉的老朋友,蜜罐系统每天都能捕获大量的Mirai变种,这些变种都非常简单:要么是换一换C2;要么改一改加密的Key;要么集成些新的漏洞扫描……这些入门级的DDoser已经不能引起我们的任何兴趣了。这个Bot程序之所以能在众多变种脱颖而出,一是因为它独特的的加密方法,严谨的通信协议;二是因为在溯源过程中,我们发现它很有可能隶属于Moobot团伙而且正在迭代开发中(就在我们编写本文的同时作者更新了第三个版本,增加了一些新功能,更换了新的Tor CC vbrxmrhrjnnouvjf.onion:31337)。基于这些原因,我们决定将它曝光。因为传播过程中使用H0z3r字串(/bin/busybox wget http://37[.4
  • Alex.Turing
    Alex.Turing
  • Hui Wang
    Hui Wang
14 min read
DDoS

那些和185.244.25.0/24网段有关的Botnet

根据我们的观察,过去几年185.244.25.0/24这个网段出现了超多的Botnet,包括但不仅限于mirai、gafgyt、tsunami、fbot、moobot、handymanny等,他们属于同一个组织或共享了相关代码。下表是过去一年我们关于该网段的一些统计数据。可以看出该网段有很多的CC和攻击行为。 Count of CC (host:port) Count of attack target host Count of downloader IP Count of loader IP 416 36933 166 181 本文主要介绍和该网段有关最近比较活跃/有趣的几个Botnet家族,包括moobot、fbot、handymanny等。 对于其他Botnet为了方便读者了解该网段下具体有那些Botnet及其变种,我们用该网段下的Loader IP植入样本阶段使用的关键字生成一张Tag cloud图,大致反应该网段下有那些Botnet及其变种。如下图所示: moobot moobot基于mirai开发。
  • Hui Wang
    Hui Wang
  • Alex.Turing
    Alex.Turing
  • LIU Ya
    LIU Ya
  • Genshen Ye
    Genshen Ye
9 min read
Botnet

那些总是想要和别人强行发生关系的僵尸网络之Emptiness

背景 2019年06月23日我们捕获了一个全新的DDoS僵尸网络样本,因其启动时设置的进程名以及C2中有emptiness字样,所以我们将其命名为Emptiness。Emptiness由golang编写,当前发现的样本包括Windows和Linux两种平台版本。在溯源过程中,我们发现其作者长期维护着一个mirai变种僵尸网络,早期的Emptiness自身没有传播能力只有DDoS功能,是由mirai loader来完成样本植入的,后期的版本增加了ssh扫描功能,可独立完成Emptiness自身样本的传播。我们还注意到其不断修改mirai变种和Emptiness的CC协议,也许是为了对抗安全研究人员跟踪其僵尸网络攻击行为。 Emptiness的那些事 * 我们猜测其最早出现时间应该是2019年06月09日,遗憾的是当时我们并没有成功下载到http:[//blogentry.hopto.org/emptiness相关的样本。下图是我们捕获这个URL的时间, * 2019-06-23日我们首次捕获到该僵
  • Hui Wang
    Hui Wang
  • Alex.Turing
    Alex.Turing
7 min read
DDoS

FBot 新进展

【更新:2019年12月4日】近期我们多次收到针对本blog的询问。我们决定将一些事实补充列出如下: ——Kenneth Crurrin Schuchman,绰号 Nexus-Zeta,一名21岁的年轻人,已经于2019年9月3日向美国阿拉斯加区域法庭认罪。Schuchman的认罪书表明,Schuchman及其同谋者通过感染大批设备,创建了一系列僵尸网络,包括 Satori,Okiru,Masuta,Tsunami,Fbot,并利用这些僵尸网络的DDoS破坏力牟利; ——本 Blog 中涉及到的脆弱性并非发生在 Hisilicon。通过后续分析以及安全社区交流,我们确认该脆弱性发生在华为海思的供应链下游厂商。为了保护最终客户的利益,我们决定不公开脆弱性细节、攻击者使用的载荷或者具体厂商名字; ——华为 PSIRT 对我们披露的安全事件,作出了负责任的响应; 读者在继续阅读本blog时,应当明确blog和样本中出现的 Hisilicon字样,源自Schuchman及其同谋者的错误判断。实际上整个IoT产业链条庞杂,其体量远超攻击者或者任何单一从业人员能够理解的范围。只有产业界
  • Genshen Ye
    Genshen Ye
  • Hui Wang
    Hui Wang
  • RootKiter
    RootKiter
8 min read