DDoS

FBot 新进展

更新:2019年2月21号11点,我们捕获到了Fbot Loader完整的漏洞利用Payload,攻击者通过DVRIP协议建立telnet后门并植入Fbot僵尸网络程序。 特别声明 本次抓取的Fbot看起来是以 HiSilicon DVR/NVR Soc 的设备为目标,我们已经看到有24528个设备IP被感染。但需要警惕的是,考虑到物联网行业具有复杂的产业链,实际问题可能是在它的下游引入的,我们这里之所以列出 HiSilicon DVR/NVR Soc 仅源自于我们对可获取特征的统计,在没有拿到实际 Exploit 之前,我们无法给出引入问题的确切位置。 背景介绍 从2019年2月16号开始,360Netlab发现有大量HiSilicon DVR/NVR Soc设备被攻击者利用并植入Fbot僵尸网络程序。Fbot是由360Netlab率先发现并披露的僵尸网络[

  • yegenshen
    yegenshen
  • Hui Wang
    Hui Wang
  • RootKiter
    RootKiter
7 min read
GhostDNS

GhostDNS正在针对巴西地区70种、100,000+家用路由器做恶意DNS劫持

背景介绍 从2018年9月20号开始,360Netlab Anglerfish蜜罐系统监测到互联网上有大量IP正在针对性地扫描路由器系统。攻击者尝试对路由器Web认证页面进行口令猜解或者通过dnscfg.cgi漏洞利用绕过身份认证,然后通过相应DNS配置接口篡改路由器默认DNS地址为Rogue DNS Server[1] 。 我们共发现3套成熟的DNSChanger程序,根据其编程语言特性我们将它们分别命名为Shell DNSChanger,Js DNSChanger,PyPhp DNSChanger。目前这3套DNSChanger程序由同一个恶意软件团伙运营,其中以PyPhp DNChanger部署规模最大。根据其功能特性,我们将它们统一命名为DNSChanger System。 事实上DNSChanger System是该恶意软件软件团伙运营系统中的一个子系统,其它还包括:Phishing Web System,Web Admin System,Rogue

  • yegenshen
    yegenshen
24 min read
MikroTik

窃听风云: 你的MikroTik路由器正在被监听

背景介绍 MikroTik是一家拉脱维亚公司,成立于1996年,致力于开发路由器和无线ISP系统。MikroTik现在为世界上大多数国家/地区的互联网连接提供硬件和软件。在1997年,MikroTik创建了RouterOS软件系统,在2002年,MikroTik决定制造自己的硬件并创建了RouterBOARD品牌,每个RouterBOARD设备都运行RouterOS软件系统。[1] 根据维基解密披露的CIA Vault7黑客工具Chimay Red涉及到2个漏洞利用,其中包括Winbox任意目录文件读取(CVE-2018-14847)和Webfig远程代码执行漏洞。[2] Winbox是一个Windows GUI应用程序,Webfig是一个Web应用程序,两者都是RouterOS一个组件并被设计为路由器管理系统。Winbox和Webfig与RouterOS的网络通信分别在TCP/8291端口上,TCP/80或TCP/8080等端口上。[3] [4] 通过360Netlab Anglerfish蜜罐系统,我们观察到恶意软件正在利用MikroTik

  • yegenshen
    yegenshen
8 min read
muhstik

GPON 漏洞的在野利用(一)——muhstik 僵尸网络

自从本次GPON漏洞公布以来,10天内已经有至少5个僵尸网络家族在积极利用该漏洞构建其僵尸军团,包括 mettle、muhstik、mirai、hajime、satori。时间之短、参与者之多,在以往IoT僵尸网络发展中并不多见。 幸运的是,当前包括muhstik、mirai、hajime、satori在内的其中大部分僵尸网络的攻击载荷经测试实现有问题,并不能真正植入恶意代码;mettle 虽然能够植入恶意代码,但C2服务器短暂出现后下线了。无论如何,由于这些恶意代码团伙在积极更新,我们仍应对他们的行为保持警惕。 muhstik 僵尸网络由我们首次批露 ( 报告-2018-04 )。本次 muhstik 的更新中增加了针对包括 GPON 在内三个漏洞的利用。本轮更新后 muhstik共有

  • yegenshen
    yegenshen
9 min read
muhstik

僵尸网络 Muhstik 正在积极利用 Drupal 漏洞 CVE-2018-7600 蠕虫式传播

2018年3月28日,Drupal.org 公布了漏洞 CVE-2018-7600 的修复方案。Drapal 是一个开源的内容管理系统,由PHP语言写成,有很多网站使用 Drupal 向外提供网页服务。本次漏洞存在于 Drupal 的多个版本中,攻击者可以利用该漏洞完全控制网站。 从2018年4月13日开始,360网络安全研究院观测到互联网上有大量针对该漏洞的扫描。通过分析,我们认为有至少3组恶意软件在利用该漏洞传播。其中一组恶意软件有蠕虫传播行为,感染量显著比其他的恶意软件更多。分析后,我们认为这是一个长期存在的僵尸网络家族。我们将其命名为 muhstik,这主要是因为其二进制文件名和通信协议中多处包含了这个字符串。 我们认为 muhstik 有以下特点值得社区关注: 蠕虫式传播 长期存在 使用的漏洞利用数目众多

  • yegenshen
    yegenshen
14 min read
IoT Botnet

IoT_reaper 情况更新

在周五晚上披露了IoT_reaper之后,我们收到了来自安全社区和各方很多问题。这里给出一个快速的更新,以澄清各方可能的疑问。 IoT_reaper样本投递历史情况 我们通过蜜罐观察到的 IoT_reaper 样本历史投递情况如下: 可以看出,IoT_reaper 最主要传播的恶意代码位于下面这个URL上: 下载地址:hxxp://162.211.183.192/sa 投递者:119.82.26.157 起止时间:10-04~10-17 样本md5:7 个,

  • yegenshen
    yegenshen
6 min read
IoT Botnet

IoT_reaper : 一个正在快速扩张的新 IoT 僵尸网络

从2017-09-13 01:02:13开始,我们捕获到一个新的针对iot设备的恶意样本出现,在随后的这个一个多月时间里,这个新的IoT僵尸网络家族不断持续更新,开始在互联网上快速大规模的组建僵尸网络军团。 该僵尸网络脱胎于mirai,但是在诸多方面比mirai更进一步,特别是开始放弃弱口令猜测,完全转向利用IoT设备漏洞收割,成为IoT僵尸网络里的新兴玩家。我们将之命名为IoT_reaper。 IoT_reaper规模较大且正在积极扩张,例如最近的数据昨日(10月19日)在我们观察到的多个C2中,其中一个C2上活跃IP地址去重后已经有10k个,此外还有更多的易感设备信息已经被提交到后台,由一个自动的loader持续植入恶意代码、扩大僵尸网络规模。 所幸目前该僵尸网络还尚未发出植入恶意代码以外的其他攻击指令,这反映出该僵尸网络仍然处在早期扩张阶段。但是作者正在积极的修改代码,这值得我们警惕。 我们公开IoT_reaper的相关信息,希望安全社区、设备供应商、政府能够采取共同行动,

  • yegenshen
    yegenshen
6 min read