Genshen Ye

Genshen Ye

P2P

潜伏者:Roboto Botnet 分析报告

背景介绍 2019年8月26号,360Netlab未知威胁检测系统发现一个可疑的ELF文件(4cd7bcd0960a69500aa80f32762d72bc),目前在VirusTotal上显示仅有2款杀毒引擎检测识别。通过详细分析,我们确定这是一款基于P2P通信的Bot程序,并对它保持关注。 2019年10月11号,我们通过Anglerfish蜜罐捕获到另一个可疑的ELF样本(4b98096736e94693e2dc5a1361e1a720),并且正是那个可疑的ELF样本的Downloader。这个Downloader样本会从2个硬编码的HTTP链接中下载Bot程序,其中一个下载地址把这个Bot样本伪装成Google的一个字体库“roboto.ttc”,所以我们将这个Botnet命名为Roboto。 我们已经持续关注了Roboto Botnet近3个月的时间,并在本文披露它的一些技术特征。 Roboto Botnet概览 目前,我们捕获到了Roboto Botnet的Downloader和Bot模块。根据它的传播方式和Bot样本特征,我们推测它还存在漏洞扫描模块和
  • Alex.Turing
    Alex.Turing
  • Genshen Ye
    Genshen Ye
15 min read
DDoS

那些和185.244.25.0/24网段有关的Botnet

根据我们的观察,过去几年185.244.25.0/24这个网段出现了超多的Botnet,包括但不仅限于mirai、gafgyt、tsunami、fbot、moobot、handymanny等,他们属于同一个组织或共享了相关代码。下表是过去一年我们关于该网段的一些统计数据。可以看出该网段有很多的CC和攻击行为。 Count of CC (host:port) Count of attack target host Count of downloader IP Count of loader IP 416 36933 166 181 本文主要介绍和该网段有关最近比较活跃/有趣的几个Botnet家族,包括moobot、fbot、handymanny等。 对于其他Botnet为了方便读者了解该网段下具体有那些Botnet及其变种,我们用该网段下的Loader IP植入样本阶段使用的关键字生成一张Tag cloud图,大致反应该网段下有那些Botnet及其变种。如下图所示: moobot moobot基于mirai开发。
  • Hui Wang
    Hui Wang
  • Alex.Turing
    Alex.Turing
  • LIU Ya
    LIU Ya
  • Genshen Ye
    Genshen Ye
9 min read
Botnet

一些Fiberhome路由器正在被利用为SSH隧道代理节点

背景介绍 2019年7月24号,360Netlab未知威胁检测系统发现一个可疑的ELF文件,目前在VirusTotal上还没有一款杀毒引擎检测识别。通过详细分析,我们确定这是一款针对Fiberhome路由器设备Reporter程序。它会定时获取设备IP等信息并上传给一个Web接口,以此来解决设备IP变更的问题。 我们还观察到攻击者在Windows和Linux平台上开发了相应的客户端程序,通过访问Web接口获取Reporter上报的设备IP等信息,然后使用一些预留的后门账号密码建立SSH隧道(Dynamic Port Forwarding),并在本地创建Socks5代理服务。我们根据攻击者使用的域名,将这些恶意软件统一命名为Gwmndy。 此外,与其他Botnet不同的是,攻击者并没有持续扩张Bot数量,我们猜测对于攻击者来说每天有180多个活跃的SSH隧道代理节点就已经满足他的需求了。 Gwmndy概览 Gwmndy恶意软件主要包括vpn.sh脚本,Reporter和SSH Client程序,并且通过一个Web服务器给它们提供相应的Web接口,用来传输Bot IP
  • Genshen Ye
    Genshen Ye
6 min read
Godlua

Godlua Backdoor分析报告

背景介绍 2019年4月24号,360Netlab未知威胁检测系统发现一个可疑的ELF文件,目前有一部分杀软误识别为挖矿程序。通过详细分析,我们确定这是一款Lua-based Backdoor,因为这个样本加载的Lua字节码文件幻数为“God”,所以我们将它命名为Godlua Backdoor。 Godlua Backdoor会使用硬编码域名,Pastebin.com,GitHub.com和DNS TXT记录等方式,构建存储C2地址的冗余机制。同时,它使用HTTPS加密下载Lua字节码文件,使用DNS over HTTPS获取C2域名解析,保障Bot与Web Server和C2之间的安全通信。 我们观察到Godlua Backdoor实际上存在2个版本,并且有在持续更新。我们还观察到攻击者会通过Lua指令,动态运行Lua代码,并对一些网站发起HTTP Flood 攻击。 概览 目前,我们看到的Godlua Backdoor主要存在2个版本,201811051556版本是通过遍历Godlua下载服务器得到,我们没有看到它有更新。当前Godlua Backdoor活跃
  • Alex.Turing
    Alex.Turing
  • Genshen Ye
    Genshen Ye
10 min read
honeypot

Linux.Ngioweb分析报告

背景介绍 2019年5月27号,360Netlab 未知威胁检测系统发现一个可疑的ELF文件,目前仅有一款杀毒引擎检测识别。通过详细分析,我们确定这是一款Proxy Botnet,并且是Win32.Ngioweb[1]恶意软件的Linux版本变种,我们将它命名为Linux.Ngioweb。它与Win32.Ngioweb共用了大量代码,不同的是它新增了DGA特性。我们注册了其中一个DGA C2域名(enutofish-pronadimoful-multihitision.org),并对它进行Sinkhole处理以此来观察Bot连接情况。 此外,我们还观察到大量部署WordPress的Web服务器被植入Linux.Ngioweb 恶意软件。尽管Bot程序由Web容器对应的用户组运行并且权限很小但还是能够正常工作,并被充当Rotating Reverse Proxy[2]节点。 目前,我们还没有看清楚Linux.Ngioweb攻击者的目的,但我们猜测他可能会监听代理网络流量。 Linux.Ngioweb概览 Linux.Ngioweb Bot样本的主要功能是在受害者的机
  • Alex.Turing
    Alex.Turing
  • Genshen Ye
    Genshen Ye
15 min read
DDoS

FBot 新进展

【更新:2019年12月4日】近期我们多次收到针对本blog的询问。我们决定将一些事实补充列出如下: ——Kenneth Crurrin Schuchman,绰号 Nexus-Zeta,一名21岁的年轻人,已经于2019年9月3日向美国阿拉斯加区域法庭认罪。Schuchman的认罪书表明,Schuchman及其同谋者通过感染大批设备,创建了一系列僵尸网络,包括 Satori,Okiru,Masuta,Tsunami,Fbot,并利用这些僵尸网络的DDoS破坏力牟利; ——本 Blog 中涉及到的脆弱性并非发生在 Hisilicon。通过后续分析以及安全社区交流,我们确认该脆弱性发生在华为海思的供应链下游厂商。为了保护最终客户的利益,我们决定不公开脆弱性细节、攻击者使用的载荷或者具体厂商名字; ——华为 PSIRT 对我们披露的安全事件,作出了负责任的响应; 读者在继续阅读本blog时,应当明确blog和样本中出现的 Hisilicon字样,源自Schuchman及其同谋者的错误判断。实际上整个IoT产业链条庞杂,其体量远超攻击者或者任何单一从业人员能够理解的范围。只有产业界
  • Genshen Ye
    Genshen Ye
  • Hui Wang
    Hui Wang
  • RootKiter
    RootKiter
8 min read
GhostDNS

GhostDNS正在针对巴西地区70种、100,000+家用路由器做恶意DNS劫持

背景介绍 从2018年9月20号开始,360Netlab Anglerfish蜜罐系统监测到互联网上有大量IP正在针对性地扫描路由器系统。攻击者尝试对路由器Web认证页面进行口令猜解或者通过dnscfg.cgi漏洞利用绕过身份认证,然后通过相应DNS配置接口篡改路由器默认DNS地址为Rogue DNS Server[1] 。 我们共发现3套成熟的DNSChanger程序,根据其编程语言特性我们将它们分别命名为Shell DNSChanger,Js DNSChanger,PyPhp DNSChanger。目前这3套DNSChanger程序由同一个恶意软件团伙运营,其中以PyPhp DNChanger部署规模最大。根据其功能特性,我们将它们统一命名为DNSChanger System。 事实上DNSChanger System是该恶意软件软件团伙运营系统中的一个子系统,其它还包括:Phishing Web System,Web Admin System,Rogue DNS System。这4个系统之间相互协同运作实现DNS劫持功能,我们将这整个系统命名为GhostDNS。
  • Genshen Ye
    Genshen Ye
24 min read
MikroTik

窃听风云: 你的MikroTik路由器正在被监听

背景介绍 MikroTik是一家拉脱维亚公司,成立于1996年,致力于开发路由器和无线ISP系统。MikroTik现在为世界上大多数国家/地区的互联网连接提供硬件和软件。在1997年,MikroTik创建了RouterOS软件系统,在2002年,MikroTik决定制造自己的硬件并创建了RouterBOARD品牌,每个RouterBOARD设备都运行RouterOS软件系统。[1] 根据维基解密披露的CIA Vault7黑客工具Chimay Red涉及到2个漏洞利用,其中包括Winbox任意目录文件读取(CVE-2018-14847)和Webfig远程代码执行漏洞。[2] Winbox是一个Windows GUI应用程序,Webfig是一个Web应用程序,两者都是RouterOS一个组件并被设计为路由器管理系统。Winbox和Webfig与RouterOS的网络通信分别在TCP/8291端口上,TCP/80或TCP/8080等端口上。[3] [4] 通过360Netlab Anglerfish蜜罐系统,我们观察到恶意软件正在利用MikroTik CVE-2018-148
  • Genshen Ye
    Genshen Ye
8 min read
muhstik

GPON 漏洞的在野利用(一)——muhstik 僵尸网络

自从本次GPON漏洞公布以来,10天内已经有至少5个僵尸网络家族在积极利用该漏洞构建其僵尸军团,包括 mettle、muhstik、mirai、hajime、satori。时间之短、参与者之多,在以往IoT僵尸网络发展中并不多见。 幸运的是,当前包括muhstik、mirai、hajime、satori在内的其中大部分僵尸网络的攻击载荷经测试实现有问题,并不能真正植入恶意代码;mettle 虽然能够植入恶意代码,但C2服务器短暂出现后下线了。无论如何,由于这些恶意代码团伙在积极更新,我们仍应对他们的行为保持警惕。 muhstik 僵尸网络由我们首次批露 ( 报告-2018-04 )。本次 muhstik 的更新中增加了针对包括 GPON 在内三个漏洞的利用。本轮更新后 muhstik共有 10 种漏洞检测模块。 到北京时间5月9日,我们联合安全社区关闭了部分服务器,部分减缓了 muhstik 的扩张速度。然而 muhstik 扩张的脚步并未停止,在2018-05-10 10:30 GMT+8,我们观察到它启用了 165.
  • Genshen Ye
    Genshen Ye
9 min read
muhstik

僵尸网络 Muhstik 正在积极利用 Drupal 漏洞 CVE-2018-7600 蠕虫式传播

2018年3月28日,Drupal.org 公布了漏洞 CVE-2018-7600 的修复方案。Drapal 是一个开源的内容管理系统,由PHP语言写成,有很多网站使用 Drupal 向外提供网页服务。本次漏洞存在于 Drupal 的多个版本中,攻击者可以利用该漏洞完全控制网站。 从2018年4月13日开始,360网络安全研究院观测到互联网上有大量针对该漏洞的扫描。通过分析,我们认为有至少3组恶意软件在利用该漏洞传播。其中一组恶意软件有蠕虫传播行为,感染量显著比其他的恶意软件更多。分析后,我们认为这是一个长期存在的僵尸网络家族。我们将其命名为 muhstik,这主要是因为其二进制文件名和通信协议中多处包含了这个字符串。 我们认为 muhstik 有以下特点值得社区关注: * 蠕虫式传播 * 长期存在 * 使用的漏洞利用数目众多 * 混合使用了多种牟利方式 攻击载荷 按照时间顺序,Muhstik使用了下面两组攻击载荷,这两组载荷占据了全部看到的载荷的80%左右,是我们看到的攻击的主要部分: * 活跃时间:2018-04-14 03:33:06~ 2018
  • Genshen Ye
    Genshen Ye
14 min read
IoT Botnet

IoT_reaper 情况更新

在周五晚上披露了IoT_reaper之后,我们收到了来自安全社区和各方很多问题。这里给出一个快速的更新,以澄清各方可能的疑问。 IoT_reaper样本投递历史情况 我们通过蜜罐观察到的 IoT_reaper 样本历史投递情况如下: 可以看出,IoT_reaper 最主要传播的恶意代码位于下面这个URL上: * 下载地址:hxxp://162.211.183.192/sa * 投递者:119.82.26.157 * 起止时间:10-04~10-17 * 样本md5:7 个,详细见文末IoC 这个URL上的样本之间内聚关系比较强,我们称为S簇。 后来进一步的分析,认为S簇还包括其他一些样本;而在S簇之外,还有一个LUA簇,以及其他更小一些的未知簇。 S簇的样本构成 我们认为S簇包含下面这些URL上的样本: * hxxp://162.211.183.192/sa * hxxp:
  • Genshen Ye
    Genshen Ye
6 min read
IoT Botnet

IoT_reaper : 一个正在快速扩张的新 IoT 僵尸网络

从2017-09-13 01:02:13开始,我们捕获到一个新的针对iot设备的恶意样本出现,在随后的这个一个多月时间里,这个新的IoT僵尸网络家族不断持续更新,开始在互联网上快速大规模的组建僵尸网络军团。 该僵尸网络脱胎于mirai,但是在诸多方面比mirai更进一步,特别是开始放弃弱口令猜测,完全转向利用IoT设备漏洞收割,成为IoT僵尸网络里的新兴玩家。我们将之命名为IoT_reaper。 IoT_reaper规模较大且正在积极扩张,例如最近的数据昨日(10月19日)在我们观察到的多个C2中,其中一个C2上活跃IP地址去重后已经有10k个,此外还有更多的易感设备信息已经被提交到后台,由一个自动的loader持续植入恶意代码、扩大僵尸网络规模。 所幸目前该僵尸网络还尚未发出植入恶意代码以外的其他攻击指令,这反映出该僵尸网络仍然处在早期扩张阶段。但是作者正在积极的修改代码,这值得我们警惕。 我们公开IoT_reaper的相关信息,希望安全社区、设备供应商、政府能够采取共同行动,联合遏制该僵尸网络的扩张。 源于mirai,高于mirai 该僵尸网络部分借用了m
  • Genshen Ye
    Genshen Ye
6 min read