360 Netlab Blog - Network Security Research Lab at 360 (Page 4)

QNAP NAS在野漏洞攻击事件2

背景介绍 2021年3月2号，360网络安全研究院未知威胁检测系统监测到攻击者正在使用台湾QNAP Systems, Inc.公司的网络存储设备诊断程序(Helpdesk)的未授权远程命令执行漏洞（CVE-2020-2506 & CVE-2020-2507），获取到系统root权限并进行恶意挖矿攻击。我们将此次挖矿程序命名为UnityMiner，值得注意的是攻击者专门针对QNAP NAS设备特性，隐藏了挖矿进程，隐藏了真实的CPU内存资源占用信息，使用户无法在Web管理界面看到系统异常行为。 2020年10月7号，QNAP Systems, Inc.公司发布安全公告QSA-20-08[1]，并指出已在Helpdesk 3.0.3和更高版本中解决了这些问题。目前，互联网上还没有公布CVE-2020-2506和CVE-2020-2507的漏洞详细信息，由于该漏洞威胁程度极高，为保护尚未修复漏洞的QNAP NAS用户，我们不公开该漏洞技术细节。我们推测仍有数十万个在线的QNAP NAS设备存在该漏洞。此前我们曾披露了另一起QNAP NAS在野漏洞攻击事件[2]。

Gafgtyt_tor，Necro作者再次升级“武器库”

版权版权声明: 本文为Netlab原创，依据CC BY-SA 4.0 许可证进行授权，转载请附上出处链接及本声明。概述自2021年2月15号起，360Netlab的BotMon系统持续检测到Gafgyt家族的一个新变种，它使用Tor进行C2通信以隐藏真实C2，并对样本中的敏感字符串做了加密处理。这是我们首次发现使用Tor机制的Gafgyt变种，所以将该变种命名为Gafgyt_tor。进一步分析发现该家族与我们1月份公开的Necro家族有紧密联系，背后为同一伙人，即所谓的keksec团伙[1] [2]。检索历史样本发现该团伙长期运营Linux IoT botnet，除了Necro和Gafgyt_tor，他们还曾运营过Tsunami和其它Gafgyt变种botnet。本文将介绍Gafgyt_tor，并对该团伙近期运营的其它botnet做一梳理。本文关键点如下： 1. Gafgyt_tor使用Tor来隐藏C2通信，可内置100多个Tor代理，并且新样本在持续更新代理列表。 2. Gafgyt_tor跟keksec团伙之前分发的Gafgyt样本同源，核心功能依

Gafgtyt_tor and Necro are on the move again

Overview Since February 15, 2021, 360Netlab's BotMon system has continuously detected a new variant of the Gafgyt family, which uses Tor for C2 communication to hide the real C2 and encrypts sensitive strings in the samples. This is the first time we found a Gafgyt variant using the

Fbot is now riding the traffic and transportation smart devices

Background Fbot, a botnet based on Mirai, has been very active ever sine we first blogged about it here[1][2], we have seen this botnet using multiple 0 days before(some of them we have not disclosed yet) and it has been targeting various IoT devices, now, it is

Fbot僵尸网络正在攻击交通和运输智能设备

背景介绍 Fbot是一个基于Mirai的僵尸网络，它一直很活跃，此前我们曾多次披露过该僵尸网络[1][2]。我们已经看到Fbot僵尸网络使用了多个物联网（Internet of things）设备的N-day漏洞和0-day漏洞（部分未披露），现在它正在攻击车联网（Internet of Vehicles）领域的智能设备，这是一个新现象。 2021年2月20号，360网络安全研究院未知威胁检测系统监测到攻击者正在使用美国Iteris, Inc.公司的Vantage Velocity产品的远程命令执行漏洞（CVE-2020-9020）[3][4]，传播Fbot僵尸网络样本。据维基百科介绍[5]，Iteris, Inc.公司为智能移动基础设施管理提供软件和咨询服务，包括软件即服务以及托管和咨询服务，并生产记录和预测交通状况的传感器和其他设备。结合Vantage Velocity产品用途，并从受影响的设备上发现AIrLink GX450 Mobile Gateway产信息，因此我们推测受影响设备是路边设备系统。 CVE-2020-9020漏洞分析通过360 F

Rinfo Is Making A Comeback and Is Scanning and Mining in Full Speed

Overview In 2018 we blogged about a scanning&mining botnet family that uses ngrok.io to propagate samples: "A New Mining Botnet Blends Its C2s into ngrok Service ", and since mid-October 2020, our BotMon system started to see a new variant of this family that is active

rinfo卷土重来，正在疯狂扫描和挖矿

版权版权声明：本文为Netlab原创，依据CC BY-SA 4.0 许可证进行授权，转载请附上出处链接及本声明。概述 2018年我们公开过一个利用ngrok.io传播样本的扫描&挖矿型botnet家族: "利用ngrok传播样本挖矿"，从2020年10月中旬开始，我们的BotMon系统检测到这个家族的新变种再次活跃起来，并且持续至今。相比上一次，这次来势更加凶猛，截至2021年2月6号，我们的Anglerfish蜜罐共捕获到11864个scanner样本，1754个miner样本，3232个ngrok.io临时域名。样本捕获情况可以参考下面的捕获记录。目前该家族仍在传播之中，本文将结合老版本对新变种做一对比分析，要点如下： 1. 该家族整体结构未变，仍由扫描和挖矿2大模块组成，扫描的目的仍然是为了组建挖矿型botnet。 2. 样本跟2018年分析的那批同源，只是功能稍有变化，为最新变种。 3. 新版本仍然依赖ngrok.io来分发样本和上报结果。 4. 扫描的端口和服务有所变化，不再扫描Apache CouchDB和MODX服务，同时增加了3个新的

DNSMon: using DNS data to produce threat intelligence (3)

Background This article is the third in our series of articles introducing DNSMon in the production of threat intelligence (Domain Name IoC). As a basic core protocol of the Internet, DNS protocol is one of the cornerstones for the normal operation of the Internet. DNSMon, which was born and raised

DNSMon: 用DNS数据进行威胁发现(3)

--- Linux，Windows，Android，一个都不能少背景本文是介绍DNSMon在生产威胁情报(域名IoC)系列文章的第三篇。 DNS协议作为互联网的一项基础核心协议，是互联网得以正常运行的基石之一。在祖国960万平方公里的土地上，那一张纵横交错的数据网络里，每一秒都有数万亿计的DNS数据包在高速穿梭着，它们或来自于机房的服务器，或来自于办公室的电脑，或来自于我们身边的手机，或来自于场景繁多的IoT，总之DNS无处不在。生长于斯的DNSMon，依托DNS协议的基础性，天然具备宽广的视野，对那些发生在不同行业或不同平台的安全事件，都能有所涉猎。在DNSMon科普系列的前两篇博文中，第一篇提及的Skidmap是感染Linux平台的云主机；而第二篇提及的一组域名是网吧的Windows平台被感染后发出的；本文则是一个涉及Android平台的案例。如果仔细阅读文章并理解其中内容，可以看到DNSMon在面对3个差异巨大的平台时，所使用的知识点或者说规则并没有根本性的变化，几乎做到了无差别预警。对未知威胁的拦截最近，我们注意到DMSMon从2021-01-10

New Threat: Matryosh Botnet Is Spreading

Background On January 25, 2021, 360 netlab BotMon system labeled a suspicious ELF file as Mirai, but the network traffic did not match Mirai's characteristics. This anomaly caught our attention, and after analysis, we determined that it was a new botnet that reused the Mirai framework, propagated through

新威胁：能云端化配置C2的套娃（Matryosh）僵尸网络正在传播

版权版权声明：本文为Netlab原创，依据 CC BY-SA 4.0 许可证进行授权，转载请附上出处链接及本声明。背景 2021年1月25日，360网络安全研究院的BotMon系统将一个可疑的ELF文件标注成Mirai，但网络流量却不符合Mirai的特征。这个异常引起了我们的注意，经分析，我们确定这是一个复用了Mirai框架，通过ADB接口传播，针对安卓类设备，主要目的为DDoS攻击的新型僵尸网络。它重新设计了加密算法，通过DNS TXT的方式从远程主机获取TOR C2以及和C2通信所必须的TOR代理。这个僵尸网络实现的加密算法以及获取C2的过程都是一层层嵌套，像俄罗斯套娃一样，基于这个原因，我们将它命名为Matryosh。每天都有脚本小子拿着Mirai的源码进行魔改，想着从DDoS黑产赚上一笔。Matryosh会是这样的作品吗？随着分析的深入，更多细节浮出水面，根据C2指令的相似性，我们推测它是当下非常活跃的Moobot团伙的又一个尝试。 Matryosh没有集成扫描，漏洞利用的模块，主要功能为DDoS攻击，支持 tcpraw, icmpecho,

Necro is going to version 3 and using PyInstaller and DGA

Overview. Necro is a classic family of botnet written in Python that was first discovered in 2015, at the beginning, it targeted Windows systems and often tagged by security vendors as Python.IRCBot and called N3Cr0m0rPh (Necromorph) by the author himself. Since January 1, 2021, 360Netlab's BoTMon system

Necro在频繁升级，新版本开始使用PyInstaller和DGA

概述 Necro是一个经典的Python编写的botnet家族，最早发现于2015年，早期针对Windows系统，常被报为Python.IRCBot，作者自己则称之为N3Cr0m0rPh(Necromorph)。自2021年1月1号起，360Netlab的BotMon系统持续检测到该家族的新变种，先后有3个版本的样本被检测到，它们均针对Linux系统，并且最新的版本使用了DGA技术来生成C2域名对抗检测。本文将对最近发现的Necro botnets做一分析。本文的关键点如下： 1，Necro最新版的感染规模在万级，并且处于上升趋势。 2，在传播方式上，Necro支持多种方式，并且持续集成新公开的1-day漏洞，攻击能力较强。 3，最新版Necro使用了DGA技术生成C2域名，Python脚本也经过重度混淆以对抗静态分析。 4，目前传播的不同版本Necro botnet背后为同一伙人，并且主要针对Linux设备。 5，最新的2个版本为了确保能在没有Python2的受害机器上执行，会同时分发使用PyInstaller打包过的Python程序。在撰写本文时,我们注意

DNSMon: 用DNS数据进行威胁发现(2)

----DNSMon抓李鬼记背景本文是介绍DNSMon在生产威胁情报(域名IoC)系列文章的第二篇。为了对抗安全人员的分析，钓鱼域名是恶意样本经常采用的一种技术手段。从字符组成和结构上看，钓鱼域名确实具有混淆视听的功效，但对于DNSMon这种具备多维度关联分析的系统来说，模仿知名公司域名的效果则适得其反，因为这样的域名一旦告警，反而更容易引起分析人员的注意。本案例从一组疑似钓鱼域名出发，逐步介绍DNSMon是如何利用whois，ICP备案，域名解析内容和图关联等信息，让一组干瘪的域名逐渐一点点丰富起来直至最后恶意定性的。意料之外的是，随着线索的展开，我们发现这是一起失陷设备数量巨大的安全事件，从我们的数据测算，感染规模远超100w设备。为此，我们进行了较为细致的逆向分析和回溯，但限于篇幅，样本分析细节及其家族演变，将在后续再另起一篇介绍。通常威胁分析普遍的惯例是先知道样本恶意再逆向, 有时根据DNS数据估算感染规模。这次DNSMon系列文章里揭示的，更多是先根据DNS数据发现异常并定性，再进一步探寻还原事件真相。即从先逆向再统计，变成了先统计再逆向。这个顺序

Another LILIN DVR 0-day being used to spread Mirai

Author: Yanlong Ma, Genshen Ye Background Information In March, we reported[1] that multiple botnets, including Chalubo, Fbot, Moobot were using a same 0 day vulnerability to attack LILIN DVR devices, the vendor soon fixed the vulnerability. On August 26, 2020, our Anglerfish honeypot detected that another new LILIN DVR/

LILIN DVR/NVR 在野0-day漏洞攻击报告2

本文作者：马延龙，叶根深背景介绍 2020年8月26号，360网络安全研究院Anglerfish蜜罐系统监测到有攻击者，使用Merit LILIN DVR/NVR 默认密码和0-day漏洞，传播Mirai僵尸网络样本。 2020年9月25号，Merit LILIN联络人在收到漏洞报告后，快速地响应并提供了固件修复程序(4.0.26.5618 firmware version for NVR5832)。此前，我们曾向Merit LILIN报告了另一个0-day漏洞[1][2]。时间线 2020年9月21号，我们邮件联系Merit LILIN厂商并报告了漏洞详情以及在野攻击PoC。 2020年9月22号，Merit LILIN联络人邮件回复已经连夜修复该问题。 2020年9月25号，Merit LILIN联络人提供固件修复程序4.0.26.5618 firmware version for NVR5832。影响范围 360 FirmwareTotal系统通过对Merit LILIN

Import 2022-11-30 11:16

DNS data mining case study - skidmap

As the foundation and core protocol of the Internet, the DNS protocol carries data that, to a certain extent, reflects a good deal of the user behaviors, thus security analysis of DNS data can cover a decent amount of the malicious activities. In the early days, typical scenarios for early

DNSMon: 用DNS数据进行威胁发现

----发现skidmap的未知后门更新记录 * [2020-12-07] 在本文发布之后不久，我们注意到该后门的访问模式有了一定的调整。并在最近DNSMon发现攻击者已经启用了新的域名IOC。具体来说有如下变化： 1. 将rctl子域名变更为 r1 2. 新启用了mylittlewhitebirds[.]com，howoldareyou9999[.]com（比原先的howoldareyou999[.]com多了一个字符'9'），franceeiffeltowerss[.]com(比原先的franceeiffeltowers[.]com多了一个字符's')三个域名作为后面的备用域名。具体如下： r1.googleblockchaintechnology[.]com r1.howoldareyou9999[.]com r1-443.howoldareyou9999[.]com r1-443.franceeiffeltowerss[.]com

Import 2022-11-30 11:16

Blackrota, a heavily obfuscated backdoor written in Go

The most obfuscated Go-developed ELF-formatted malware we've found to date. Overview Recently, a malicious backdoor program written in the Go language that exploits an unauthorized access vulnerability in the Docker Remote API was caught by the our Anglerfish honeypot. We named it Blackrota, given that its C2 domain

MooBot on the run using another 0 day targeting UNIX CCTV DVR

This report is jointly issued by CNCERT and Qihoo 360 Overview Moobot is a botnet we first reported in September 2019[1]. It has been pretty active since its appearance and we reported before it has the ability to exploit 0day vulnerabilities[2][3] . In Jun, we were able to

Moobot 在野0day利用之UNIXCCTV DVR命令注入

本报告由国家互联网应急中心（CNCERT）与北京奇虎科技有限公司（360）共同发布概述 Moobot是一个基于Mirai开发的僵尸网络，自从其出现就一直很活跃，并且拥有0day漏洞利用的能力。我们有多篇和该botnet相关的文章，感兴趣的读者可以去阅读[1][2][3]。本文主要介绍CNCERT和360公司共同发现的Moobot针对UNIXCCTV DVR/NVR设备的0day利用。关于该漏洞的详细细节我们通知了厂家，并且确认当前厂家已经修复了该漏洞，发布了相应的补丁[ALL265 unix 2.3.7.8B09][NVR unix 2.3.7.8B05][ALL unixip 2.3.4.8B06]。友情提醒此类设备的用户及时更新设备固件。时间线 * 2020-06-09 首次捕获到针对该漏洞的探测扫描 * 2020-06-24 首次捕获利用该漏洞传播的Moobot样本 * 2020-08-24 厂家发布补丁修复bug 漏洞利用过程我们捕获的Moobot样本并不具有该漏洞的利用功能。Moobot通过Loader扫描8000端口，定位到目标设备

Import 2022-11-30 11:16

Blackrota, 一个Go开发的高度混淆的后门

概述最近，我们通过 Anglerfish 蜜罐捕获到一个利用 Docker Remote API 未授权访问漏洞来传播的 Go 语言编写的恶意后门程序，鉴于它上线的 C2 为 blackrota.ga ，我们把它命名为 Blackrota。 Blackrota 后门程序目前只有 Linux 版，为 ELF 文件格式，支持 x86/x86-64 两种 CPU 架构。Blackrota 基于 geacon 配置并编译，geacon 是一个 Go 语言实现的 CobaltStrike Beacon，它可以作为 CobalStrike 的 Beacon 与 CobaltStrike 交互来控制失陷主机：不过它只实现了原生 CobaltStrike

Quick update on the Linux.Ngioweb botnet, now it is going after IoT devices

Background On June 21, 2019, we published a blog about a Proxy Botnet, Linux.Ngioweb. On August 4, 2020, we captured a batch of ELF files with zero VT detection, which are variants of Ngioweb.And we just named it V2. Two weeks later, on August 16, we noticed that

Linux.Ngioweb变种正在攻击IOT设备

背景介绍 2019年6月21日，我们向社区公布了一个新的Proxy Botnet，Linux.Ngioweb的分析报告。 2020年8月4日，360Netlab未知威胁检测系统捕获到一批VT零检测的疑似Ngioweb的ELF文件，经分析，我们确定它们属于同一个变种，简单地将其命名为Ngioweb V2。 2020年8月16日，360Netlab蜜罐系统发现攻击者陆续使用了9个Nday漏洞传播Ngioweb V2样本，涉及到x86(32/64), ARM(32/64), MIPS(MIPS32/MIPS-III) 以及 PPC，Hitachi SH，IBM S/390等CPU架构，标志着Ngioweb开始攻击IOT设备。同时支持众多的CPU架构，尝试众多Nday漏洞传播也彰显了其作者急欲扩张的企图。 2020年11月5日，友商IntezerLabs在VT上发现一个名为bins.october的压缩包，里面包含了多个编译器产生的50个Ngioweb样本，同样涉及全部的流行CPU架构。基于Ngioweb长时间的活跃，VT上极低的检测率，以及开始攻击IOT设备等原因，我们

Import 2022-11-30 11:16

HEH Botnet, 一个处于开发阶段的 IoT P2P Botnet

概述近期 360Netlab 未知威胁检测系统捕获到一批未知恶意家族的样本，这一批样本支持的 CPU 架构有 x86(32/64), ARM(32/64), MIPS(MIPS32/MIPS-III) 以及 PPC，经过我们分析，将其命名为 HEH Botnet。HEH 是一个由 Go 语言编写的 IoT P2P Botnet，它的 P2P 协议不基于公开的任何 P2P 协议，而是自研协议。HEH 现阶段会通过暴力破解 23/2323 两个端口的 Telnet 服务来传播，而不针对特定设备。基于以下两点，我们认为它还处于开发测试阶段： 1. 整个僵尸网络的运作机制还不太成熟； 2. 部分指令还未实现。根据