RSA大会 '2018,360Netlab的威胁情报服务

RSA大会'2018 即将在4月16日至19日期间在美国旧金山Moscone中心举办。在今年的这次大会上,360Netlab将首次集中展示威胁情报服务能力。您可以在 这里 观看介绍视频,记得可能需要手动调到1080P。您也可以试用在线系统,包括 DDoSMon 和ScanMon 。 DDoSMon、ScanMon和DNSMon,是360Netlab本次展示威胁情报服务能力的三个主要组成部分。三者分别提供拒绝服务、网络扫描、域名异常的监控能力,应对全球网络流量实时处理。 DNSMon是2018年新推出的能力。在DNSMon里面,我们实时的分析海量的DNS流量,并对流量中的各种异常和关联关系予以分析,从而发现大网流行的恶意代码行为。另一方面,DNSMon将我们指向未知威胁发现领域,我们期待在这个领域内作出更多成果。DNSMon相关已经公开的成功案例,包括之前公布的“偷电”系列分析文章。 ScanMon早先在2016年ISC和2017 RSAC大会上两次公布。

安全威胁预警:Mirai变种Satori正在端口 37215 和 52869 上类似蠕虫式传播

作者:360网络安全研究院 [更新记录] - 2017-12-05 18:56:40 UTC,在我们的博客发出2个小时后,我们观察到C2服务器开始向bot发送停止扫描的指令,与此同时我们看到大网上这两个端口的流量开始下降。 - 文中提到的C2地址 95.211.123.69:7654 ,实际是 95.211.123.69:7645 的笔误。 在我们之前的blog中,我们提及有大约10万个来自阿根廷的独立扫描IP正在扫描端口2323和23,并且确定这是一个新的mirai变种。在过去的几天中,扫描行为变得愈发严重,更多的国家出现在我们的ScanMon平台上。仔细分析后我们看到了更多的部分,

安全威胁早期预警:新的mirai僵尸网络变种正在端口23和2323上积极传播

【2017-11-28 更新】 原文中提到的两个C2均已被安全社区sinkhole。 原文中的 admin/CentryL1nk 是 admin/CenturyL1nk 的笔误。 大约60个小时以前,从2017-11-22 11:00开始,360网络安全研究院注意到在端口2323和23上的扫描流量有一个暴涨现象。其中主要扫描者,大约10万个扫描IP地址位于阿根廷,同时360网络安全研究院也注意到大约有5千个IP地址来自国内。分析以后,目前比较确定这是一个新的mirai变种。 根因分析 在我们蜜罐中,最近有两个新的用户名密码被频繁使用到,分别是 admin/CentryL1nk 和 admin/QwestM0dem 。值得一提,admin/CentryL1nk 这对用户名密码是针对ZyXEL

从DNS和sinkhole视角看WannaCry蠕虫

编注:本文来源自《中国计算机学会通讯》2017年第7期《WannaCry勒索蠕虫专刊》,作者是360网络安全研究院李丰沛。在本博客发布时,文章的字句和排版略有调整,以适应本技术博客。我们将该文章发布在本技术博客的动机之一,是因为这篇文章中对WannaCry的感染情况做了一个定量分析,本技术博客的后续其他分析文章可以参考做一个基准。 域名系统(Domain Name System, DNS)数据作为全网流量数据的一种采样方式,可以在大网尺度对域名做有效的度量和分析。我们利用DNS数据,在过去数年里对多个安全事件,包括Mirai等僵尸网络、DGA等恶意域名,以及黑色产业链条进行跟踪和分析。对于最近爆发的WannaCry蠕虫病毒,利用DNS数据进行分析,也是很有意义的。 众所周知,WannaCry蠕虫病毒有一个开关域名,即www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com,该域名相关详细内容见《

新威胁报告:一个新IoT僵尸网络正在 HTTP 81上大范围传播

概述 360 网络安全研究院近日监测到一个新的僵尸网络正在大范围扫描整个互联网。考虑到该僵尸网络的以下因素,我们决定向安全社区公开我们的发现成果: 规模较大,我们目前可以看到 ~50k 日活IP 有Simple UDP DDoS 攻击记录,可以认定是恶意代码 较新,目前尚有较多安全厂商未能识别该恶意代码 ( 7/55 virustotal ) 与mirai僵尸网络相比,借鉴了其端口嗅探手法和部分代码,但是在传播、C2通信协议、攻击向量等关键方面完全不同于mirai,是新的恶意代码家族而不应视为mirai的变种 我们梳理了该僵尸网络的发现过程、传播手法、行为特征,简略分析了该僵尸网络的攻击行为,并按照时间线组织本blog的各小节如下: GoAhead及多家摄像头的 RCE 漏洞