ADB.Miner 安卓蠕虫的更多信息

本篇技术分析,由360手机卫士,360威胁情报中心,360烽火实验室,360-CERT,360网络安全研究院联合发布。 综述 大约48小时之前,我们发布 文章 报告了ADB.Miner,一种新型的安卓蠕虫。该蠕虫可以借助安卓设备上已经打开的 adb 调试接口传播,且初期传播的增速很快,约每12小时翻一番。 在过去的48小时内,我们对 ADB.Miner 做更进一步的分析,目前的结论如下,供安全社区参考: 当前感染量已经稳定:日活感染量在增长到7千(2018-02-05 15:00 GMT+8)后不再快速增长。

TheMoon : 一个僵尸网络的老皇历和新变种

TheMoon 是一个恶意代码家族的代号。早在2014年2月,该恶意代码家族就引起了安全研究人员的普遍关注。在当时,TheMoon是一个针对 Linksys 路由器的、有类似蠕虫式传播行为的僵尸网络。由于其感染传播能力较强,安全社区里的讨论较多。 2014~2017年期间,又陆续有各安全厂商对TheMoon恶意代码家族做了分析。报告反应了当时 TheMoon 家族的演化情况。 从2017年开始,我们也对 TheMoon 家族做了持续跟踪,并注意到以下的新发现: 感染阶段: TheMoon 集成了最近的一组漏洞利用代码,提高其感染能力; 运营阶段: TheMoon 的代理网络,由正向代理改为反向代理,避免被安全研究人员探测度量; 样本特征: TheMoon

偷盗的艺术: Satori 变种正在通过替换钱包地址盗取 ETH 数字代币

在我们2017年12月5日发布的关于Satori的 文章 中,我们提到Satori僵尸网络正在以前所未有的速度快速传播。自从我们的文章发布以后,安全社区、ISP、供应链厂商共同协作,Satori 的控制端服务器被 sinkhole、ISP和供应链厂商采取了行动,Satori的蔓延趋势得到了暂时遏制,但是Satori的威胁依然存在。 从 2018-01-08 10:42:06 GMT+8 开始,我们检测到 Satori 的后继变种正在端口37215和52869上重新建立整个僵尸网络。值得注意的是,新变种开始渗透互联网上现存其他Claymore Miner挖矿设备,通过攻击其3333 管理端口,替换钱包地址,并最终攫取受害挖矿设备的算力和对应的 ETH

Is Hajime botnet dead?

概述 我们于近期决定公开一部分Hajime相关的研究结果及数据,供社区成员查阅。本文的核心内容包含以下几点: Hajime跟踪主页上线。结合Hajime的通讯特点(DHT+uTP),我们实现了对Hajime各Bot节点的长期跟踪,同时还在主页绘制了日活及地域分布情况。 通过逆向分析,我们代码级重现了密钥交换过程,在该工作的帮助下,可以随时获取到Hajime网络中的最新模块文件。 跟踪过程中,我们发现一个包含x64配置项的config文件,该发现预示着,原作者有意将PC平台作为下一个感染目标(这里也存在原作者密钥泄露的可能性)。 Hajime背景 与 MIRAI 的张扬不同,Hajime是一个低调神秘的Botnet,在诞生后的这一年中并没有给公众传递太多的恐慌。MIRAI在明,Hajime在暗,两者相得益彰。在MIRAI源码公开期间,已经有友商详细阐述过其工作机制。 Hajime的核心特点在于:它是一个P2P botnet,