0-day

多款光纤路由器设备在野0-day漏洞简报

本文作者:马延龙,叶根深,涂凌鸣,金晔 大致情况 这是我们过去30天内的第3篇IoT 0-day漏洞文章,之前我们还披露了DrayTek Router在野0-day漏洞分析报告[1],LILIN DVR在野0-day漏洞分析报告[2]。我们观察到僵尸网络存在相互竞争获取更多的Bot规模的情况,其中有些僵尸网络拥有一些0-day漏洞资源,这使它们看起来与众不同。我们正在研究并观察IoT Botnet使用0-day漏洞传播是否是一个新趋势。 2020年2月28日,360Netlab未知威胁检测系统注意到Moobot僵尸网络[3]开始使用一种我们从未见过的新漏洞(多个步骤),并且可以成功攻击受影响的设备。 2020年3月17日,我们确认此漏洞为0-day漏洞,并将结果报告给CNCERT。 2020年3月18日,Exploit Database[4]网站发布了Netlink

  • Genshen Ye
    Genshen Ye
  • Alex.Turing
    Alex.Turing
  • jinye
    jinye
5 min read
0-day

DrayTek Vigor企业级路由器和交换机设备在野0-day 漏洞分析报告

本文作者:马延龙,叶根深,刘宏达 背景介绍 从2019年12月4开始,360Netlab未知威胁检测系统持续监测到两个攻击团伙使用DrayTek Vigor企业级路由器和交换机设备0-day漏洞,窃听设备网络流量,开启SSH服务并创建系统后门账号,创建Web Session后门等恶意行为。 2019年12月25号,我们在Twitter[1][2]上披露了DrayTek Vigor在野0-day漏洞攻击IoC特征,并给相关国家CERT提供技术支持。 2020年2月10号,厂商DrayTek发布安全公告[3],修复了该漏洞并发布了最新的固件程序1.5.1。 漏洞分析 我们根据Firmware Total系统[4] 进行DrayTek Vigor在野0-day漏洞定位和模拟漏洞验证。其中2个0-day漏洞命令注入点keyPath,rtick已经被厂商修复,

  • Genshen Ye
    Genshen Ye
6 min read
LILIN DVR

LILIN DVR 在野0-day 漏洞分析报告

本文作者:马延龙,涂凌鸣,叶根深,刘宏达 当我们研究Botnet时,我们一般看到的是攻击者通过N-day漏洞植入Bot程序。但慢慢的,我们看到一个新的趋势,一些攻击者开始更多地利用0-day漏洞发起攻击,利用手段也越发成熟。我们希望安全社区关注到这一现象,积极合作共同应对0-day漏洞攻击威胁。 背景介绍 从2019年8月30号开始,360Netlab未知威胁检测系统持续监测到多个攻击团伙使用LILIN DVR 0-day漏洞传播Chalubo[1],FBot[2],Moobot[3]僵尸网络。 在2020年1月19号,我们开始联系设备厂商LILIN。在2020年2月13号,厂商修复了该漏洞[4],并发布了最新的固件程序2.0b60_20200207[5]

  • Alex.Turing
    Alex.Turing
  • Genshen Ye
    Genshen Ye
5 min read
DDoS

FBot 新进展

【更新:2019年12月4日】近期我们多次收到针对本blog的询问。我们决定将一些事实补充列出如下: ——Kenneth Crurrin Schuchman,绰号 Nexus-Zeta,一名21岁的年轻人,已经于2019年9月3日向美国阿拉斯加区域法庭认罪。Schuchman的认罪书表明,Schuchman及其同谋者通过感染大批设备,创建了一系列僵尸网络,包括 Satori,Okiru,Masuta,Tsunami,Fbot,并利用这些僵尸网络的DDoS破坏力牟利; ——本 Blog 中涉及到的脆弱性并非发生在 Hisilicon。通过后续分析以及安全社区交流,我们确认该脆弱性发生在华为海思的供应链下游厂商。为了保护最终客户的利益,我们决定不公开脆弱性细节、攻击者使用的载荷或者具体厂商名字; ——华为 PSIRT 对我们披露的安全事件,

  • Genshen Ye
    Genshen Ye
  • Hui Wang
    Hui Wang
  • RootKiter
    RootKiter
15 min read
IoT Botnet

安全威胁预警:Mirai变种Satori正在端口 37215 和 52869 上类似蠕虫式传播

作者:360网络安全研究院 [更新记录] - 2017-12-05 18:56:40 UTC,在我们的博客发出2个小时后,我们观察到C2服务器开始向bot发送停止扫描的指令,与此同时我们看到大网上这两个端口的流量开始下降。 - 文中提到的C2地址 95.211.123.69:7654 ,实际是 95.211.123.69:7645 的笔误。 在我们之前的blog中,我们提及有大约10万个来自阿根廷的独立扫描IP正在扫描端口2323和23,并且确定这是一个新的mirai变种。在过去的几天中,扫描行为变得愈发严重,更多的国家出现在我们的ScanMon平台上。仔细分析后我们看到了更多的部分,

  • Li Fengpei
    Li Fengpei
6 min read