360 Netlab Blog - Network Security Research Lab at 360

Network Security Research Lab at 360

QNAP

QNAP NAS在野漏洞攻击事件2

背景介绍 2021年3月2号,360网络安全研究院未知威胁检测系统监测到攻击者正在使用台湾QNAP Systems, Inc.公司的网络存储设备诊断程序(Helpdesk)的未授权远程命令执行漏洞(CVE-2020-2506 & CVE-2020-2507),获取到系统root权限并进行恶意挖矿攻击。 我们将此次挖矿程序命名为UnityMiner,值得注意的是攻击者专门针对QNAP NAS设备特性,隐藏了挖矿进程,隐藏了真实的CPU内存资源占用信息,使用户无法在Web管理界面看到系统异常行为。 2020年10月7号,QNAP Systems, Inc.公司发布安全公告QSA-20-08[1],并指出已在Helpdesk 3.0.3和更高版本中解决了这些问题。 目前,互联网上还没有公布CVE-2020-2506和CVE-2020-2507的漏洞详细信息,由于该漏洞威胁程度极高,为保护尚未修复漏洞的QNAP NAS用户,我们不公开该漏洞技术细节。我们推测仍有数十万个在线的QNAP NAS设备存在该漏洞。 此前我们曾披露了另一起QNAP NAS在野漏洞攻击事件[2]。
  • Ma Yanlong
    Ma Yanlong
  • Genshen Ye
    Genshen Ye
6 min read
Necro

Gafgtyt_tor,Necro作者再次升级“武器库”

版权 版权声明: 本文为Netlab原创,依据CC BY-SA 4.0 许可证进行授权,转载请附上出处链接及本声明。 概述 自2021年2月15号起,360Netlab的BotMon系统持续检测到Gafgyt家族的一个新变种,它使用Tor进行C2通信以隐藏真实C2,并对样本中的敏感字符串做了加密处理。这是我们首次发现使用Tor机制的Gafgyt变种,所以将该变种命名为Gafgyt_tor。进一步分析发现该家族与我们1月份公开的Necro家族有紧密联系,背后为同一伙人,即所谓的keksec团伙[1] [2]。检索历史样本发现该团伙长期运营Linux IoT botnet,除了Necro和Gafgyt_tor,他们还曾运营过Tsunami和其它Gafgyt变种botnet。本文将介绍Gafgyt_tor,并对该团伙近期运营的其它botnet做一梳理。 本文关键点如下: 1. Gafgyt_tor使用Tor来隐藏C2通信,可内置100多个Tor代理,并且新样本在持续更新代理列表。 2. Gafgyt_tor跟keksec团伙之前分发的Gafgyt样本同源,核心功能依
  • jinye
    jinye
15 min read
Botnet

Fbot僵尸网络正在攻击交通和运输智能设备

背景介绍 Fbot是一个基于Mirai的僵尸网络,它一直很活跃,此前我们曾多次披露过该僵尸网络[1][2]。我们已经看到Fbot僵尸网络使用了多个物联网(Internet of things)设备的N-day漏洞和0-day漏洞(部分未披露),现在它正在攻击车联网(Internet of Vehicles)领域的智能设备,这是一个新现象。 2021年2月20号,360网络安全研究院未知威胁检测系统监测到攻击者正在使用美国Iteris, Inc.公司的Vantage Velocity产品的远程命令执行漏洞(CVE-2020-9020)[3][4],传播Fbot僵尸网络样本。 据维基百科介绍[5],Iteris, Inc.公司为智能移动基础设施管理提供软件和咨询服务,包括软件即服务以及托管和咨询服务,并生产记录和预测交通状况的传感器和其他设备。 结合Vantage Velocity产品用途,并从受影响的设备上发现AIrLink GX450 Mobile Gateway产信息,因此我们推测受影响设备是路边设备系统。 CVE-2020-9020漏洞分析 通过360 F
  • Genshen Ye
    Genshen Ye
  • Alex.Turing
    Alex.Turing
7 min read
rinfo

rinfo卷土重来,正在疯狂扫描和挖矿

版权 版权声明:本文为Netlab原创,依据CC BY-SA 4.0 许可证进行授权,转载请附上出处链接及本声明。 概述 2018年我们公开过一个利用ngrok.io传播样本的扫描&挖矿型botnet家族: "利用ngrok传播样本挖矿",从2020年10月中旬开始,我们的BotMon系统检测到这个家族的新变种再次活跃起来,并且持续至今。相比上一次,这次来势更加凶猛,截至2021年2月6号,我们的Anglerfish蜜罐共捕获到11864个scanner样本,1754个miner样本,3232个ngrok.io临时域名。样本捕获情况可以参考下面的捕获记录。 目前该家族仍在传播之中,本文将结合老版本对新变种做一对比分析,要点如下: 1. 该家族整体结构未变,仍由扫描和挖矿2大模块组成,扫描的目的仍然是为了组建挖矿型botnet。 2. 样本跟2018年分析的那批同源,只是功能稍有变化,为最新变种。 3. 新版本仍然依赖ngrok.io来分发样本和上报结果。 4. 扫描的端口和服务有所变化,不再扫描Apache CouchDB和MODX服务,同时增加了3个新的
  • LIU Ya
    LIU Ya
8 min read
DNSMon

DNSMon: 用DNS数据进行威胁发现(3)

--- Linux,Windows,Android,一个都不能少 背景 本文是介绍DNSMon在生产威胁情报(域名IoC)系列文章的第三篇。 DNS协议作为互联网的一项基础核心协议,是互联网得以正常运行的基石之一。在祖国960万平方公里的土地上,那一张纵横交错的数据网络里,每一秒都有数万亿计的DNS数据包在高速穿梭着,它们或来自于机房的服务器,或来自于办公室的电脑,或来自于我们身边的手机,或来自于场景繁多的IoT,总之DNS无处不在。 生长于斯的DNSMon,依托DNS协议的基础性,天然具备宽广的视野,对那些发生在不同行业或不同平台的安全事件,都能有所涉猎。在DNSMon科普系列的前两篇博文中,第一篇提及的Skidmap是感染Linux平台的云主机;而第二篇提及的一组域名是网吧的Windows平台被感染后发出的;本文则是一个涉及Android平台的案例。 如果仔细阅读文章并理解其中内容,可以看到DNSMon在面对3个差异巨大的平台时,所使用的知识点或者说规则并没有根本性的变化,几乎做到了无差别预警。 对未知威胁的拦截 最近,我们注意到DMSMon从2021-01-10
  • suqitian
    suqitian
  • Alex.Turing
    Alex.Turing
10 min read
DDoS

新威胁:能云端化配置C2的套娃(Matryosh)僵尸网络正在传播

版权 版权声明:本文为Netlab原创,依据 CC BY-SA 4.0 许可证进行授权,转载请附上出处链接及本声明。 背景 2021年1月25日,360网络安全研究院的BotMon系统将一个可疑的ELF文件标注成Mirai,但网络流量却不符合Mirai的特征。这个异常引起了我们的注意,经分析,我们确定这是一个复用了Mirai框架,通过ADB接口传播,针对安卓类设备,主要目的为DDoS攻击的新型僵尸网络。它重新设计了加密算法,通过DNS TXT的方式从远程主机获取TOR C2以及和C2通信所必须的TOR代理。 这个僵尸网络实现的加密算法以及获取C2的过程都是一层层嵌套,像俄罗斯套娃一样,基于这个原因,我们将它命名为Matryosh。 每天都有脚本小子拿着Mirai的源码进行魔改,想着从DDoS黑产赚上一笔。Matryosh会是这样的作品吗?随着分析的深入,更多细节浮出水面,根据C2指令的相似性,我们推测它是当下非常活跃的Moobot团伙的又一个尝试。 Matryosh没有集成扫描,漏洞利用的模块,主要功能为DDoS攻击,支持 tcpraw, icmpecho,
  • Alex.Turing
    Alex.Turing
  • Hui Wang
    Hui Wang
  • liuyang
10 min read
DGA

Necro在频繁升级,新版本开始使用PyInstaller和DGA

概述 Necro是一个经典的Python编写的botnet家族,最早发现于2015年,早期针对Windows系统,常被报为Python.IRCBot,作者自己则称之为N3Cr0m0rPh(Necromorph)。自2021年1月1号起,360Netlab的BotMon系统持续检测到该家族的新变种,先后有3个版本的样本被检测到,它们均针对Linux系统,并且最新的版本使用了DGA技术来生成C2域名对抗检测。本文将对最近发现的Necro botnets做一分析。 本文的关键点如下: 1,Necro最新版的感染规模在万级,并且处于上升趋势。 2,在传播方式上,Necro支持多种方式,并且持续集成新公开的1-day漏洞,攻击能力较强。 3,最新版Necro使用了DGA技术生成C2域名,Python脚本也经过重度混淆以对抗静态分析。 4,目前传播的不同版本Necro botnet背后为同一伙人,并且主要针对Linux设备。 5,最新的2个版本为了确保能在没有Python2的受害机器上执行,会同时分发使用PyInstaller打包过的Python程序。 在撰写本文时,我们注意
  • jinye
    jinye
16 min read
DNSMon

DNSMon: 用DNS数据进行威胁发现(2)

----DNSMon抓李鬼记 背景 本文是介绍DNSMon在生产威胁情报(域名IoC)系列文章的第二篇。 为了对抗安全人员的分析,钓鱼域名是恶意样本经常采用的一种技术手段。从字符组成和结构上看,钓鱼域名确实具有混淆视听的功效,但对于DNSMon这种具备多维度关联分析的系统来说,模仿知名公司域名的效果则适得其反,因为这样的域名一旦告警,反而更容易引起分析人员的注意。 本案例从一组疑似钓鱼域名出发,逐步介绍DNSMon是如何利用whois,ICP备案,域名解析内容和图关联等信息,让一组干瘪的域名逐渐一点点丰富起来直至最后恶意定性的。 意料之外的是,随着线索的展开,我们发现这是一起失陷设备数量巨大的安全事件,从我们的数据测算,感染规模远超100w设备。为此,我们进行了较为细致的逆向分析和回溯,但限于篇幅,样本分析细节及其家族演变,将在后续再另起一篇介绍。 通常威胁分析普遍的惯例是先知道样本恶意再逆向, 有时根据DNS数据估算感染规模。这次DNSMon系列文章里揭示的,更多是先根据DNS数据发现异常并定性,再进一步探寻还原事件真相。即从先逆向再统计,变成了先统计再逆向。 这个顺序
  • suqitian
    suqitian
  • Alex.Turing
    Alex.Turing
14 min read
0-day

LILIN DVR/NVR 在野0-day漏洞攻击报告2

本文作者:马延龙,叶根深 背景介绍 2020年8月26号,360网络安全研究院Anglerfish蜜罐系统监测到有攻击者,使用Merit LILIN DVR/NVR 默认密码和0-day漏洞,传播Mirai僵尸网络样本。 2020年9月25号,Merit LILIN联络人在收到漏洞报告后,快速地响应并提供了固件修复程序(4.0.26.5618 firmware version for NVR5832)。 此前,我们曾向Merit LILIN报告了另一个0-day漏洞[1][2]。 时间线 2020年9月21号,我们邮件联系Merit LILIN厂商并报告了漏洞详情以及在野攻击PoC。 2020年9月22号,Merit LILIN联络人邮件回复已经连夜修复该问题。 2020年9月25号,Merit LILIN联络人提供固件修复程序4.0.26.5618 firmware version for NVR5832。 影响范围 360 FirmwareTotal系统通过对Merit LILIN
  • Genshen Ye
    Genshen Ye
6 min read
DNSMon

DNSMon: 用DNS数据进行威胁发现

----发现skidmap的未知后门 更新记录 * [2020-12-07] 在本文发布之后不久,我们注意到该后门的访问模式有了一定的调整。并在最近DNSMon发现攻击者已经启用了新的域名IOC。具体来说有如下变化: 1. 将rctl子域名变更为 r1 2. 新启用了mylittlewhitebirds[.]com,howoldareyou9999[.]com(比原先的howoldareyou999[.]com多了一个字符'9'),franceeiffeltowerss[.]com(比原先的franceeiffeltowers[.]com多了一个字符's')三个域名作为后面的备用域名。 具体如下: r1.googleblockchaintechnology[.]com r1.howoldareyou9999[.]com r1-443.howoldareyou9999[.]com r1-443.franceeiffeltowerss[.]com
  • Zhang Zaifeng
    Zhang Zaifeng
  • RootKiter
    RootKiter
19 min read
0-day

Moobot 在野0day利用之UNIXCCTV DVR命令注入

本报告由国家互联网应急中心(CNCERT)与北京奇虎科技有限公司(360)共同发布 概述 Moobot是一个基于Mirai开发的僵尸网络,自从其出现就一直很活跃,并且拥有0day漏洞利用的能力。我们有多篇和该botnet相关的文章,感兴趣的读者可以去阅读[1][2][3]。本文主要介绍CNCERT和360公司共同发现的Moobot针对UNIXCCTV DVR/NVR设备的0day利用。关于该漏洞的详细细节我们通知了厂家,并且确认当前厂家已经修复了该漏洞,发布了相应的补丁[ALL265 unix 2.3.7.8B09][NVR unix 2.3.7.8B05][ALL unixip 2.3.4.8B06]。友情提醒此类设备的用户及时更新设备固件。 时间线 * 2020-06-09 首次捕获到针对该漏洞的探测扫描 * 2020-06-24 首次捕获利用该漏洞传播的Moobot样本 * 2020-08-24 厂家发布补丁修复bug 漏洞利用过程 我们捕获的Moobot样本并不具有该漏洞的利用功能。Moobot通过Loader扫描8000端口,定位到目标设备
  • Hui Wang
    Hui Wang
  • Alex.Turing
    Alex.Turing
9 min read
Import 2022-11-30 11:16

Blackrota, 一个Go开发的高度混淆的后门

概述 最近,我们通过 Anglerfish 蜜罐捕获到一个利用 Docker Remote API 未授权访问漏洞来传播的 Go 语言编写的恶意后门程序,鉴于它上线的 C2 为 blackrota.ga ,我们把它命名为 Blackrota。 Blackrota 后门程序目前只有 Linux 版,为 ELF 文件格式,支持 x86/x86-64 两种 CPU 架构。Blackrota 基于 geacon 配置并编译,geacon 是一个 Go 语言实现的 CobaltStrike Beacon,它可以作为 CobalStrike 的 Beacon 与 CobaltStrike 交互来控制失陷主机: 不过它只实现了原生 CobaltStrike
  • JiaYu
9 min read
Botnet

Linux.Ngioweb变种正在攻击IOT设备

背景介绍 2019年6月21日,我们向社区公布了一个新的Proxy Botnet,Linux.Ngioweb的分析报告。 2020年8月4日,360Netlab未知威胁检测系统捕获到一批VT零检测的疑似Ngioweb的ELF文件,经分析,我们确定它们属于同一个变种,简单地将其命名为Ngioweb V2。 2020年8月16日,360Netlab蜜罐系统发现攻击者陆续使用了9个Nday漏洞传播Ngioweb V2样本,涉及到x86(32/64), ARM(32/64), MIPS(MIPS32/MIPS-III) 以及 PPC,Hitachi SH,IBM S/390等CPU架构,标志着Ngioweb开始攻击IOT设备。同时支持众多的CPU架构,尝试众多Nday漏洞传播也彰显了其作者急欲扩张的企图。 2020年11月5日,友商IntezerLabs在VT上发现一个名为bins.october的压缩包,里面包含了多个编译器产生的50个Ngioweb样本,同样涉及全部的流行CPU架构。 基于Ngioweb长时间的活跃,VT上极低的检测率,以及开始攻击IOT设备等原因,我们
  • Alex.Turing
    Alex.Turing
  • Hui Wang
    Hui Wang
35 min read