Hui Wang - 360 Netlab Blog - Network Security Research Lab at 360 (Page 3)

Hui Wang

BCMUPnP_Hunter：疑似10万节点级别的僵尸网络正在滥用家用路由器发送垃圾邮件

本文由 Hui Wang、RootKiter共同撰写 360Netlab在2018年9月注意到一个新的僵尸网络。该僵尸网络的感染数量特别巨大，每个扫描波次中活跃的IP地址为10万左右，值得引起安全社区的警惕。我们将该僵尸网络命名为 BCMUPnP_Hunter，主要是考虑基其感染目标特征。该僵尸网络有以下几个特点： * 感染量特别巨大，每个波次中活跃的扫描IP均在10万左右； * 感染目标单一，主要是以BroadCom UPnP为基础的路由器设备； * 样本捕获难度大，在高交互蜜罐中需模拟多处设备环境后才能成功捕获； * 自建代理网络(tcp-proxy)，该代理网络由攻击者自行实现，可以利用 bot端为跳板，代理访问互联网； * 该代理网络目前主要访问Outlook，Hotmail，Yahoo! Mail 等知名邮件服务器，我们高度怀疑攻击者的意图主要是和发送垃圾邮件有关。处理时间线 * 2013年10月 DefenseCode的安全研究人员发现Broadcom UPnP 实现存在重大安全漏洞。考虑到漏洞的严重性，并没有立即公开他们的发现。 *

Fbot, A Satori Related Botnet Using Block-chain DNS System

Since 2018-09-13 11:30 UTC, a new botnet (we call it Fbot) popped up in our radar which really caught our attention. There are 3 interesting aspects about this new botnet: * First, so far the only purpose of this botnet looks to be just going after and removing another botnet

Fbot，一个Satori相关的、基于区块链DNS的蠕虫

从2018-09-13 11:30 UTC开始，我们首次注意到一个新的蠕虫正在清理 com.ufo.miner。在完成了清理动作后，该蠕虫会等待来自C2（musl.lib，66.42.57.45:7000， Singapore/SG）的下一步指令。我们将该蠕虫命名为fbot，主要是因为该蠕虫的主要执行模块使用了这个名字。该C2域名的解析，需要通过EmerDNS，一个emercoin.com旗下的区块链DNS完成。 com.ufo.miner 与我们之前多次报告的 ADB.Miner 类似，利用adb安卓调试接口传播，并挖矿。ADB.Miner 是我们今年二月首次报告的，自那以后，类似的其他僵尸网络已经长期传播，感染了包括 Amazon FireTV 在内的多种设备。最后，新的蠕虫Fbot与臭名昭著的

XMR CryptoCurrency

A New Mining Botnet Blends Its C2s into ngrok Service

Overview These days, it feels like new mining malwares are popping up almost daily and we have pretty much stopped blogging the regular ones so we don’t flood our readers’ feed. With that being said, one did have our attention recently. This botnet hides its C2s(Downloader and Reporter

XMR CryptoCurrency

利用ngrok传播样本挖矿

概述 "链治百病，药不能停"。时下各种挖矿软件如雨后春笋层出不穷，想把他们都灭了，那是不可能的，这辈子都不可能的。通常我们都忽略他们。但这个利用ngrok生成大量随机域名作为Downloader和Report域名，对抗安全设施阻断其域名，隐藏真实服务器地址的挖矿恶意样本成功的引起了我们的注意。该恶意样本的主要特点是: * 使用ngrok定期更换的随机域名作为Downloader和Report域名。 * 利用redis，docker，jenkins，drupal，modx，CouchDB漏洞植入xmr挖矿程序挖矿。 * 企图扫描以太坊客户端，盗取以太币，当前未实际启用。 * 企图感染目标设备上的js文件，植入CoinHive挖矿脚本浏览器挖矿。 * 动态生成挖矿脚本和扫描脚本。 * 该挖矿样本主要模块由Scanner脚本，Miner脚本，Loader构成。Scanner模

GPON Exploit in the Wild (IV) - TheMoon Botnet Join in with a 0day(?)

This article was co-authored by Hui Wang, Rootkiter and Yegenshen. It looks like this GPON party will never end. We just found TheMoon botnet has join the party. TheMoon botnet has been discussed in our previous article, in Chinese. Its activity can be seen as early as in 2014, and

GPON Exploit in the Wild (III) - Mettle, Hajime, Mirai, Omni, Imgay

This article was co-authored by Hui Wang, LIU Ya, Rootkiter and Yegenshen. In our previous articles I and II of this series, we mentioned that since the expose of the GPON vulnerabilities (CVE-2018-10561, CVE-2018-10562), there have been at least five botnet families actively exploiting this vulnerability to build their bot

GPON 漏洞的在野利用（三）——Mettle、Hajime、Mirai、Omni、Imgay、TheMoon

本文由 Hui Wang、LIU Ya、RootKiter、yegenshen 共同撰写。 [更新 2018-05-21 17：30] 这场GPON的聚会看起来永远不会结束了，现在 TheMoon 僵尸网络家族也开始加入了。文中增加了相关的描述。特别值得说明的，TheMoon僵尸网络所使用的攻击漏洞此前并没有批露过，看起来像是个 0day，我们选择不公开攻击载荷的详细内容。另外我们选择了两个版本的 GPON 家用路由器，TheMoon使用的攻击载荷均能成功运行。我们在之前的系列文章一和二里提及，在本次GPON漏洞（CVE-2018-10561，CVE-2018-10562）公布以来，10天内已经有至少5个僵尸网络家族在积极利用该漏洞构建其僵尸军团，包括 mettle、muhstik、mirai、hajime、satori，等等。这些各路僵尸网络一拥而上，争抢地盘，w为 IoT 僵尸网络研究者们提供了一个绝佳的近距离观察机会。在我们的观察中，一个有趣的地方是各僵尸网络的漏洞利用代码均只能影响一小部分（

ADB.Miner：恶意代码正在利用开放了ADB 接口的安卓设备挖矿

作者：Hui Wang, RootKiter, twitter/360Netlab 大约24小时前，从 2018-02-03 15:00 开始，一组恶意代码开始蠕虫式快速传播，我们分析了这个安全威胁，一些快速的结果如下： * 传播时间：最早的感染时间可以回溯到 1月31日附近。当前这波蠕虫式感染从 2018-02-03 下午 15：00 附近开始被我们的系统检测到，目前仍在持续增长。 * 感染端口：5555，是安卓设备上 adb 调试接口的工作端口，这个端口正常应该被关闭，但未知原因导致部分设备错误的打开了该端口 * 蠕虫式感染：恶意代码在完成植入后，会继续扫描 5555 adb 端口，完成自身的传播 * 感染设备型号：目前能够确认的设备型号见后，大部分是智能手机，以及智能电视机顶盒 * 感染设备数量：2.75 ~ 5k，主要分布在中国（~40%）和韩国（

Early Warning: ADB.Miner A Mining Botnet Utilizing Android ADB Is Now Rapidly Spreading

Author：Hui Wang, RootKiter, twitter/360Netlab About 24 hours ago, around 2018-02-03 15:00(GMT +8), a set of malicious code began to spread rapidly, here are some quick facts: * Timeline : the earliest time of the infection can be traced back to January 31. And the current worm-like infection was