CVE-2021-26855

Microsoft Exchange 漏洞(CVE-2021-26855)在野扫描分析报告

背景介绍 2021年3月2号,微软披露了Microsoft Exchange服务器的远程代码执行漏洞[1]。 2021年3月3号开始,360网络安全研究院Anglerfish蜜罐开始模拟和部署Microsoft Exchange蜜罐插件,很快我们搜集到大量的漏洞检测数据,目前我们已经检测到攻击者植入Webshell,获取邮箱信息,甚至进行XMRig恶意挖矿(http://178.62.226.184/run.ps1)的网络攻击行为。根据挖矿文件路径名特征,我们将该Miner命名为Tripleone。 2021年3月6号开始,ProjectDiscovery和微软CSS-Exchange项目相继披露了漏洞检测脚本[2][3]。 Microsoft Exchange服务器的远程代码执行漏洞利用步骤复杂,一般从PoC公布到黑色产业攻击者利用需要一定的时间,我们看到这个攻击现象已经开始了。 CVE-2021-26855 植入Webshell POST

  • Genshen Ye
    Genshen Ye
  • houliuyang
    houliuyang
13 min read
QNAP

QNAP NAS在野漏洞攻击事件2

背景介绍 2021年3月2号,360网络安全研究院未知威胁检测系统监测到攻击者正在使用台湾QNAP Systems, Inc.公司的网络存储设备诊断程序(Helpdesk)的未授权远程命令执行漏洞(CVE-2020-2506 & CVE-2020-2507),获取到系统root权限并进行恶意挖矿攻击。 我们将此次挖矿程序命名为UnityMiner,值得注意的是攻击者专门针对QNAP NAS设备特性,隐藏了挖矿进程,隐藏了真实的CPU内存资源占用信息,使用户无法在Web管理界面看到系统异常行为。 2020年10月7号,QNAP Systems, Inc.公司发布安全公告QSA-20-08[1],并指出已在Helpdesk 3.0.3和更高版本中解决了这些问题。 目前,互联网上还没有公布CVE-2020-2506和CVE-2020-2507的漏洞详细信息,由于该漏洞威胁程度极高,为保护尚未修复漏洞的QNAP NAS用户,

  • Ma Yanlong
    Ma Yanlong
  • Genshen Ye
    Genshen Ye
6 min read
Botnet

Fbot僵尸网络正在攻击交通和运输智能设备

背景介绍 Fbot是一个基于Mirai的僵尸网络,它一直很活跃,此前我们曾多次披露过该僵尸网络[1][2]。我们已经看到Fbot僵尸网络使用了多个物联网(Internet of things)设备的N-day漏洞和0-day漏洞(部分未披露),现在它正在攻击车联网(Internet of Vehicles)领域的智能设备,这是一个新现象。 2021年2月20号,360网络安全研究院未知威胁检测系统监测到攻击者正在使用美国Iteris, Inc.公司的Vantage Velocity产品的远程命令执行漏洞(CVE-2020-9020)[3][4],传播Fbot僵尸网络样本。 据维基百科介绍[5],Iteris, Inc.公司为智能移动基础设施管理提供软件和咨询服务,包括软件即服务以及托管和咨询服务,

  • Genshen Ye
    Genshen Ye
  • Alex.Turing
    Alex.Turing
7 min read
0-day

LILIN DVR/NVR 在野0-day漏洞攻击报告2

本文作者:马延龙,叶根深 背景介绍 2020年8月26号,360网络安全研究院Anglerfish蜜罐系统监测到有攻击者,使用Merit LILIN DVR/NVR 默认密码和0-day漏洞,传播Mirai僵尸网络样本。 2020年9月25号,Merit LILIN联络人在收到漏洞报告后,快速地响应并提供了固件修复程序(4.0.26.5618 firmware version for NVR5832)。 此前,我们曾向Merit LILIN报告了另一个0-day漏洞[1][2]。 时间线 2020年9月21号,我们邮件联系Merit LILIN厂商并报告了漏洞详情以及在野攻击PoC。

  • Genshen Ye
    Genshen Ye
6 min read
0-day

Ttint: 一款通过2个0-day漏洞传播的IoT远控木马

本文作者:涂凌鸣,马延龙,叶根深 背景介绍 从2019年11月开始,360Netlab未知威胁检测系统Anglerfish蜜罐节点相继监测到某个攻击者使用2个腾达路由器0-day漏洞传播一个基于Mirai代码开发的远程控制木马(RAT)。 常规的Mirai变种基本都是围绕DDoS做文章,而这个变种不同,在DDoS攻击之外,它针对路由器设备实现了Socket5代理,篡改路由器DNS,设置iptables,执行自定义系统命令等多达12个远程控制功能。 此外,在C2通信层面,它使用WSS (WebSocket over TLS) 协议,一方面这样在流量层面可以规避非常成熟的Mirai流量检测,另一方面可以为C2提供安全加密通信。 在C2本身,攻击者最开始使用了一个Google的云服务IP,其后切换到位于香港的一台托管主机,但是当我们使用网站证书,样本,域名及IP在我们的DNSmon系统里深入扩展关联后,我们看到更多的基础设施IP,更多的样本,和更多的C2域名。

  • Alex.Turing
    Alex.Turing
  • Genshen Ye
    Genshen Ye
12 min read

360网络安全研究院杭州开点招聘

团队简介 360网络安全研究院(360Netlab)于2014年成立。不同于传统网络安全主要基于规则,数据分析是团队的主要方向。团队持续专注于DNS和僵尸网络领域,并在领域内保持领先地位。 从2014年开始,团队在DNS方向上建设了国内历史最久、覆盖范围最广的PassiveDNS基础数据库,及其附属其它基础数据库,持续分析产出威胁情报并应用于360网络安全大脑,并在多个DNS领域内的技术会议上做公开报告。在僵尸网络领域内,团队多年来持续致力于发现跟踪僵尸网络活动,披露了包括Mirai、Satori在内的若干重大安全威胁,并因为其中针对Mirai僵尸网络的持续分析工作得到美国FBI、美国司法部的致谢。 360网络安全研究院计划在杭州新成立一个产品团队,把我们的安全数据和技术产品化,探索网络安全行业未知威胁检测难题,为360安全大脑添砖加瓦。 从一次平凡的网络扫描,到漏洞、样本、安全事件分析,再到0-day漏洞检测、未知恶意软件检测、高级威胁追踪,我们致力于通过数据驱动安全,构建网络安全看得见的能力。

  • Genshen Ye
    Genshen Ye
6 min read
QNAP

QNAP NAS在野漏洞攻击事件

本文作者:马延龙,叶根深,金晔 背景介绍 2020年4月21号开始,360Netlab未知威胁检测系统监测到有攻击者使用QNAP NAS设备漏洞,攻击我们的Anglerfish蜜罐节点。我们看到这个漏洞PoC并没有在互联网上公布,攻击者在漏洞利用过程中相对谨慎,互联网上也仍有一些未修复漏洞的QNAP NAS设备。因此,我们需要披露这个漏洞攻击事件,并提醒安全社区和QNAP NAS用户,避免受到此类漏洞攻击。 漏洞分析 漏洞类型: 未授权远程命令执行漏洞 漏洞原因: 通过360 FirmwareTotal系统分析,我们发现这个漏洞出现CGI程序/httpd/cgi-bin/authLogout.cgi中。它在处理用户注销登录时,会根据Cookie中字段名称选择相应的注销登录函数。其中QPS_SID,

  • Genshen Ye
    Genshen Ye
  • jinye
    jinye
5 min read
0-day

多款光纤路由器设备在野0-day漏洞简报

本文作者:马延龙,叶根深,涂凌鸣,金晔 大致情况 这是我们过去30天内的第3篇IoT 0-day漏洞文章,之前我们还披露了DrayTek Router在野0-day漏洞分析报告[1],LILIN DVR在野0-day漏洞分析报告[2]。我们观察到僵尸网络存在相互竞争获取更多的Bot规模的情况,其中有些僵尸网络拥有一些0-day漏洞资源,这使它们看起来与众不同。我们正在研究并观察IoT Botnet使用0-day漏洞传播是否是一个新趋势。 2020年2月28日,360Netlab未知威胁检测系统注意到Moobot僵尸网络[3]开始使用一种我们从未见过的新漏洞(多个步骤),并且可以成功攻击受影响的设备。 2020年3月17日,我们确认此漏洞为0-day漏洞,并将结果报告给CNCERT。 2020年3月18日,Exploit Database[4]网站发布了Netlink

  • Genshen Ye
    Genshen Ye
  • Alex.Turing
    Alex.Turing
  • jinye
    jinye
5 min read
0-day

DrayTek Vigor企业级路由器和交换机设备在野0-day 漏洞分析报告

本文作者:马延龙,叶根深,刘宏达 背景介绍 从2019年12月4开始,360Netlab未知威胁检测系统持续监测到两个攻击团伙使用DrayTek Vigor企业级路由器和交换机设备0-day漏洞,窃听设备网络流量,开启SSH服务并创建系统后门账号,创建Web Session后门等恶意行为。 2019年12月25号,我们在Twitter[1][2]上披露了DrayTek Vigor在野0-day漏洞攻击IoC特征,并给相关国家CERT提供技术支持。 2020年2月10号,厂商DrayTek发布安全公告[3],修复了该漏洞并发布了最新的固件程序1.5.1。 漏洞分析 我们根据Firmware Total系统[4] 进行DrayTek Vigor在野0-day漏洞定位和模拟漏洞验证。其中2个0-day漏洞命令注入点keyPath,rtick已经被厂商修复,

  • Genshen Ye
    Genshen Ye
6 min read
LILIN DVR

LILIN DVR 在野0-day 漏洞分析报告

本文作者:马延龙,涂凌鸣,叶根深,刘宏达 当我们研究Botnet时,我们一般看到的是攻击者通过N-day漏洞植入Bot程序。但慢慢的,我们看到一个新的趋势,一些攻击者开始更多地利用0-day漏洞发起攻击,利用手段也越发成熟。我们希望安全社区关注到这一现象,积极合作共同应对0-day漏洞攻击威胁。 背景介绍 从2019年8月30号开始,360Netlab未知威胁检测系统持续监测到多个攻击团伙使用LILIN DVR 0-day漏洞传播Chalubo[1],FBot[2],Moobot[3]僵尸网络。 在2020年1月19号,我们开始联系设备厂商LILIN。在2020年2月13号,厂商修复了该漏洞[4],并发布了最新的固件程序2.0b60_20200207[5]

  • Alex.Turing
    Alex.Turing
  • Genshen Ye
    Genshen Ye
5 min read
Dacls

Lazarus Group使用Dacls RAT攻击Linux平台

背景介绍 2019年10月25号,360Netlab未知威胁检测系统发现一个可疑的ELF文件(80c0efb9e129f7f9b05a783df6959812)。一开始,我们以为这是在我们发现的Unknown Botnet中比较平凡的一个,并且在那时候VirusTotal上有2款杀毒引擎能够识别。当我们关联分析它的相关样本特征和IoC时,我们发现这个案例跟Lazarus Group有关,并决定深入分析它。 目前,业界也从未公开过关于Lazarus Group针对Linux平台的攻击样本和案例。通过详细的分析,我们确定这是一款功能完善,行为隐蔽并适用于Windows和Linux平台的RAT程序,并且其幕后攻击者疑似Lazarus Group。 事实上,这款远程控制软件相关样本早在2019年5月份就已经出现,目前在VirusTotal上显示被26款杀毒软件厂商识别为泛型的恶意软件,但它还是不为人所知,我们也没有找到相关分析报告。所以,我们会详细披露它的一些技术特征,并根据它的文件名和硬编码字符串特征将它命名为Dacls。 Dacls 概览 Dacls是一款新型的远程控制软件,包括Windows和Linux版本并共用C2协议,我们将它们分别命名为Win32.

  • jinye
    jinye
  • Genshen Ye
    Genshen Ye
16 min read
P2P

潜伏者:Roboto Botnet 分析报告

背景介绍 2019年8月26号,360Netlab未知威胁检测系统发现一个可疑的ELF文件(4cd7bcd0960a69500aa80f32762d72bc),目前在VirusTotal上显示仅有2款杀毒引擎检测识别。通过详细分析,我们确定这是一款基于P2P通信的Bot程序,并对它保持关注。 2019年10月11号,我们通过Anglerfish蜜罐捕获到另一个可疑的ELF样本(4b98096736e94693e2dc5a1361e1a720),并且正是那个可疑的ELF样本的Downloader。这个Downloader样本会从2个硬编码的HTTP链接中下载Bot程序,其中一个下载地址把这个Bot样本伪装成Google的一个字体库“roboto.ttc”,所以我们将这个Botnet命名为Roboto。 我们已经持续关注了Roboto Botnet近3个月的时间,并在本文披露它的一些技术特征。 Roboto Botnet概览 目前,我们捕获到了Roboto Botnet的Downloader和Bot模块。根据它的传播方式和Bot样本特征,我们推测它还存在漏洞扫描模块和P2P控制模块。 Roboto Botnet主要支持7种功能:反弹Shell,自卸载,获取进程网络信息,获取Bot信息,

  • Alex.Turing
    Alex.Turing
  • Genshen Ye
    Genshen Ye
15 min read
DDoS

那些和185.244.25.0/24网段有关的Botnet

根据我们的观察,过去几年185.244.25.0/24这个网段出现了超多的Botnet,包括但不仅限于mirai、gafgyt、tsunami、fbot、moobot、handymanny等,他们属于同一个组织或共享了相关代码。下表是过去一年我们关于该网段的一些统计数据。可以看出该网段有很多的CC和攻击行为。 Count of CC (host:port) Count of attack target host Count of downloader IP Count of loader IP

  • Hui Wang
    Hui Wang
  • Alex.Turing
    Alex.Turing
  • LIU Ya
  • Genshen Ye
    Genshen Ye
9 min read