DNSMon

信用卡数据泄漏持续进行中 [快速更新]

DNSMon是一个全网DNS异常发现分析系统。基于我们可以看到的中国地区 10%+ 的DNS流量,加上我们多年积累的其他多维度安全数据以及安全分析能力,我们可以在一个独特的视角来实时监测 全网 每天 正在发生 的事情,我们可以 “看见” 正在发生的威胁。 黑客在行动 5月8号,我们发布文章 <信用卡数据泄漏持续进行中>,揭露了一个通过入侵购物网站来窃取信用卡信息的案例。文章发布后不久,我们发现黑客们开始做调整,原始域名 magento-analytics[.]com 已经下线。 但不久,我们的 DNSMon 系统在UTC时间 2019-05-13 凌晨时候捕捉到该黑客的2个更新,被用于同样的信用卡信息窃取。

  • YANG XU
    YANG XU
  • ba0jy
    ba0jy
3 min read
DDoSMon

Memcache UDP 反射放大攻击 II: 最近的数据分析

我们在之前的 文章 中已经提及,Memcache DRDoS 自从被360 0kee team首次公开批露以来,在过去的9个月中在网络上都不活跃。但是最近十天以来,Memcache DRDoS 在现网中的攻击越来越频繁,所制造的攻击流量也在不断刷新,当前最新的公开记录已经到了 1.7Tbps 。 关于这种攻击方式,目前还有很多问题等待回答。例如,到底已经有多少受害者、攻击中所使用的反射点到底有多少、实际发生的反射放大倍数是多少,等等。通过回答这些问题,我们可以充分描述当前总体态势,有助于安全社区理解这种新的DDoS攻击方式。 为此我们在 Memcache DRDoS 在 DDoSMon 上建立了一个

  • YANG XU
    YANG XU
8 min read
Browser Mining

是谁悄悄偷走我的电(二):那些利用主页挖取比特币的网站

我们在早先的 文章 中提到,大约有 0.2% 的网站在使用主页中嵌入的JS代码挖矿: - Alexa 头部 10万网站中,有 241 (0.24%)个 - Alexa 头部 30万网站中,有 629 (0.21%)个 我们决定还是公开文中提到的全部站点列表,这样读者可以采取更多的行动。 我们的 DNSMon 在2018-02-08 生成的列表,其格式如下: Alexa_

  • YANG XU
    YANG XU
1 min read
Mining

是谁悄悄偷走我的电(一):利用DNSMon批量发现被挂挖矿代码的域名

在360网络安全研究院,我们持续的分析海量的DNS流量。基于此,我们建立了 DNSMon 检测系统,能够对 DNS 流量中的各种异常和关联关系予以分析。 在之前的 文章 中,我们提到了 openload.co 等网站利用Web页面挖矿的情况。在那之后,我们进一步利用 DNSMon 对整个互联网上网页挖矿进行分析,本文描述我们目前看到情况。 当前我们可以看到: 0.2% 的网站在首页嵌入了Web挖矿代码:Alexa Top 10万的网站中,有 241 (0.24%) ; Alexa

  • YANG XU
    YANG XU
6 min read