Anglerfish

A collection of 9 posts
Log4j

从蜜罐视角看Apache Log4j2漏洞攻击趋势

1 概述 Apache Log4j2是一个Java的日志库,可用于控制日志信息的级别和日志生成过程。最近,Apache Log4j2被曝出JNDI注入漏洞(CVE-2021-44228),攻击者仅需要向目标服务器发送特定JNDI链接就可以触发漏洞并在目标机器上执行任意代码,影响面和破坏力极大。受影响用户需及时升级到安全版本。 360网络安全研究院 Anglerfish蜜罐系统在搜集网络攻击威胁情报领域具有国际领先的技术优势。从2017年WannaCry勒索病毒爆发至今,我们通过对网络攻击常见套路的分析和总结,模拟了大量应用协议和漏洞特征。该系统已经具备及时发现并响应大网威胁的能力,在第一时间内发现了多起大规模网络攻击事件。 北京时间2021年12月10日凌晨0:20,距离漏洞公开不足一天,该系统就首次捕获到了Apache Log4j2漏洞相关攻击。截至12月17日,该系统共捕获2042个攻击源IP(其中中国250个,国外1792个)发起的利用Apache Log4j2漏洞的攻击72242次,攻击源IP涉及54个国家,发现132个攻击源IP利用该漏洞传播了属于30个恶意软件家
  • Rugang Chen
6 min read
Log4j

已有10个家族的恶意样本利用Log4j2漏洞传播

背景介绍 2021年12月11号8点整,我们率先捕获到Muhstik僵尸网络样本通过Log4j2 RCE漏洞传播,并首发披露Mirai和Muhstik僵尸网络在野利用详情[1]。 2天来,我们陆续又捕获到其它家族的样本,目前,这个家族列表已经超过10个,这里从漏洞、payload、攻击IP 和样本分析等几个维度介绍我们的捕获情况。 Apache Log4j2 漏洞攻击分布 360网络安全研究院大网蜜罐系统监测到Apache Log4j2 RCE漏洞(CVE-2021-44228)扫描及攻击,源IP地址地理位置分布如下: 国家/地区 攻击源IP数量 Germany 271 The Netherlands 143 China 134 United States 123 United Kingdom 29 Canada 27 Singapore 23 India 22 Japan 15 Russia 12 通过对扫描端口分析发现,
  • 360Netlab
18 min read
公有云威胁情报

公有云网络安全威胁情报(202110):趋势及典型案例分析

1 概述 云计算服务价格低廉,部署快捷方便,但存在安全风险。黑客可以用虚假信息购买,或入侵他人机器获得云资源,用这些资源窃取、勒索原有用户的数据,或用于发起DDoS攻击、发送垃圾和钓鱼邮件、虚拟货币挖矿、刷单、违法代理和传播僵尸网络木马等其他恶意行为。 360网络安全研究院 Anglerfish蜜罐(以下简称“蜜罐系统”)通过模拟仿真技术伪装成针对互联网、物联网以及工业互联网的指纹特征、应用协议、应用程序和漏洞,捕获并分析网络扫描和网络攻击行为。在2021年10月,我们共监测到来自全球58253个云服务器IP共计9213万次的网络扫描和攻击,其中发现云上网站“某市供排水总公司”持续地对外发起网络攻击行为。 2 云服务器攻击总体情况 由于IPv4地址和网络端口数量是有限的,黑客通过购买或入侵获取云服务器资源后,会扫描互联网IP地址,确定攻击目标。公网上的蜜罐系统模拟成相关设备和应用程序后,就有可能被黑客攻击。因此,蜜罐系统可以用于监测互联网上包括利用云服务器发起攻击在内的各类网络攻击行为。 我们的数据来源除了蜜罐系统搜集到的网络五元组、网络数据包和恶意软件样本信息外,还包括一
  • Rugang Chen
10 min read
0-day

LILIN DVR/NVR 在野0-day漏洞攻击报告2

本文作者:马延龙,叶根深 背景介绍 2020年8月26号,360网络安全研究院Anglerfish蜜罐系统监测到有攻击者,使用Merit LILIN DVR/NVR 默认密码和0-day漏洞,传播Mirai僵尸网络样本。 2020年9月25号,Merit LILIN联络人在收到漏洞报告后,快速地响应并提供了固件修复程序(4.0.26.5618 firmware version for NVR5832)。 此前,我们曾向Merit LILIN报告了另一个0-day漏洞[1][2]。 时间线 2020年9月21号,我们邮件联系Merit LILIN厂商并报告了漏洞详情以及在野攻击PoC。 2020年9月22号,Merit LILIN联络人邮件回复已经连夜修复该问题。 2020年9月25号,Merit LILIN联络人提供固件修复程序4.0.26.5618 firmware version for NVR5832。 影响范围 360 FirmwareTotal系统通过对Merit LILIN
  • Genshen Ye
    Genshen Ye
6 min read
LILIN DVR

LILIN DVR 在野0-day 漏洞分析报告

本文作者:马延龙,涂凌鸣,叶根深,刘宏达 当我们研究Botnet时,我们一般看到的是攻击者通过N-day漏洞植入Bot程序。但慢慢的,我们看到一个新的趋势,一些攻击者开始更多地利用0-day漏洞发起攻击,利用手段也越发成熟。我们希望安全社区关注到这一现象,积极合作共同应对0-day漏洞攻击威胁。 背景介绍 从2019年8月30号开始,360Netlab未知威胁检测系统持续监测到多个攻击团伙使用LILIN DVR 0-day漏洞传播Chalubo[1],FBot[2],Moobot[3]僵尸网络。 在2020年1月19号,我们开始联系设备厂商LILIN。在2020年2月13号,厂商修复了该漏洞[4],并发布了最新的固件程序2.0b60_20200207[5]。 漏洞分析 LILIN 0-day漏洞主要包括:硬编码登陆账号密码,/z/zbin/dvr_box命令注入漏洞和/z/zbin/net_html.cgi任意文件读取漏洞。其中/z/zbin/dvr_
  • Alex.Turing
    Alex.Turing
  • Genshen Ye
    Genshen Ye
5 min read
MikroTik

窃听风云: 你的MikroTik路由器正在被监听

背景介绍 MikroTik是一家拉脱维亚公司,成立于1996年,致力于开发路由器和无线ISP系统。MikroTik现在为世界上大多数国家/地区的互联网连接提供硬件和软件。在1997年,MikroTik创建了RouterOS软件系统,在2002年,MikroTik决定制造自己的硬件并创建了RouterBOARD品牌,每个RouterBOARD设备都运行RouterOS软件系统。[1] 根据维基解密披露的CIA Vault7黑客工具Chimay Red涉及到2个漏洞利用,其中包括Winbox任意目录文件读取(CVE-2018-14847)和Webfig远程代码执行漏洞。[2] Winbox是一个Windows GUI应用程序,Webfig是一个Web应用程序,两者都是RouterOS一个组件并被设计为路由器管理系统。Winbox和Webfig与RouterOS的网络通信分别在TCP/8291端口上,TCP/80或TCP/8080等端口上。[3] [4] 通过360Netlab Anglerfish蜜罐系统,我们观察到恶意软件正在利用MikroTik CVE-2018-148
  • Genshen Ye
    Genshen Ye
8 min read