版权 版权声明: 本文为Netlab原创，依据 CC BY-SA 4.0 许可证进行授权，转载请附上出处链接及本声明。 概述 最近几个月受比特币、门罗币大涨的刺激，各种挖矿家族纷纷活跃起来，我们的 BotMon 系统每天都能检测到几十上百起的挖矿类 Botnet 攻击事件。根据我们统计，它们多数是已经出现过的老家族，有的只是换了新的钱包或者传播方式，z0Miner 就是其中一例。 z0Miner 是去年开始活跃的一个恶意挖矿家族，业界已有公开的分析。z0Miner 最初活跃时，利用 Weblogic 未授权命令执行漏洞进行传播。 近期，360 网络安全研究院 Anglerfish 蜜罐系统监测到 z0Miner 又利用 ElasticSearch 和 Jenkins 的远程命令执行漏洞进行大肆传播，近期活跃趋势如下： 漏洞利用情况 ElasticSearch RCE 漏洞 CVE-2015-1427 虽然是个

1. 概述 DDG Mining Botnet 是一个活跃已久的挖矿僵尸网络，其主要的盈利方式是挖 XMR。从 2019.11 月份至今，我们的 Botnet 跟踪系统监控到 DDG Mining Botnet 一直在频繁跟新，其版本号和对应的更新时间如下图所示： 其中，v4005~v4011 版本最主要的更新是把以前以 Hex 形式硬编码进样本的 HubList 数据，改成了 Gob 序列化的方式；v5009 及以后的版本，则摒弃了以前基于 Memberlist 来构建 P2P 网络的方式，改用自研的 P2P 协议来构建混合模式 P2P 网络 。简化的网络结构如下： 右边服务器是 C&C Server，DDG

1. 概述 在最近的关于 DDG.Mining.Botnet v3021/v3022 版本的 威胁快讯 一文中，我们提到了 DDG 最近在用的主 C2: 119.9.106.27 AS45187|RACKSPACE-AP Rackspace IT Hosting AS IT Hosting Provider Hong Kong, HK|Hong Kong|China 2019.4.19 日凌晨，我们发现 DDG 更新了其配置数据(CfgVer:23)和恶意 Shell 脚本 i.sh，在 i.

1. 引述 2018.12.23 日，我们的 DNSMon 系统监测到以下三个异常的域名，经过研判这些域名属于 双枪 木马的网络基础设施。考虑到这些域名仅在最近才注册并启用，我们认为双枪木马近期在更新其基础设施，建议安全社区加以关注。 white[.]gogo23424.com www[.]src135.com www[.]x15222.com 双枪 木马是目前我们见过的最复杂的恶意程序之一，最早由 360 安全卫士团队披露，并对其木马工作原理做了详细的技术分析。双枪木马本身集 Rootkit 和 Bootkit(同时感染 MBR 和 VBR)于一身，还有诸多对抗措施。除此之外，双枪木马恶意活动相关的网络基础设施十分庞杂，感染路径繁琐、传播手段多样，涉及的黑灰产业务种类也五花八门。 之前对双枪木马的公开披露内容主要涉及双枪木马本身的工作原理、涉及的黑灰产业务以及部分溯源。对其传播过程的技术细节少有涉及。在双枪木马多种多样的传播方式中，按照我们的统计，

【更新记录】 2018-01-24 原始文档首次公开，原先基于新浪blog的所有上联通道均已切断 2018-01-29 12:00 MyKings的上联通道开始使用新的blog url http://test886.hatenablog.com/entry/2018/01/26/002449，我们通过 https://twitter.com/360Netlab 发布了这一消息 2018-01-29 15:00 我们注意到上述 BLOG URL 已经被封 2018-01-29 05:00 https://twitter.com/ninoseki 告知，上述被封动作是 hantena 博客安全团队处理的。 以下是原始文章 作者 netlab.360.com MyKings 是一个由多个子僵尸网络构成的多重僵尸网络，2017