Botnet

ADB.Miner:恶意代码正在利用开放了ADB 接口的安卓设备挖矿

作者:Hui Wang, RootKiter, twitter/360Netlab 大约24小时前,从 2018-02-03 15:00 开始,一组恶意代码开始蠕虫式快速传播,我们分析了这个安全威胁,一些快速的结果如下: * 传播时间:最早的感染时间可以回溯到 1月31日附近。当前这波蠕虫式感染从 2018-02-03 下午 15:00 附近开始被我们的系统检测到,目前仍在持续增长。 * 感染端口:5555,是安卓设备上 adb 调试接口的工作端口,这个端口正常应该被关闭,但未知原因导致部分设备错误的打开了该端口 * 蠕虫式感染:恶意代码在完成植入后,会继续扫描 5555 adb 端口,完成自身的传播 * 感染设备型号:目前能够确认的设备型号见后,大部分是智能手机,以及智能电视机顶盒 * 感染设备数量:2.75 ~ 5k,主要分布在中国(~40%)和韩国(
  • Hui Wang
    Hui Wang
4 min read
IoT Botnet

安全威胁预警:Mirai变种Satori正在端口 37215 和 52869 上类似蠕虫式传播

作者:360网络安全研究院 [更新记录] - 2017-12-05 18:56:40 UTC,在我们的博客发出2个小时后,我们观察到C2服务器开始向bot发送停止扫描的指令,与此同时我们看到大网上这两个端口的流量开始下降。 - 文中提到的C2地址 95.211.123.69:7654 ,实际是 95.211.123.69:7645 的笔误。 在我们之前的blog中,我们提及有大约10万个来自阿根廷的独立扫描IP正在扫描端口2323和23,并且确定这是一个新的mirai变种。在过去的几天中,扫描行为变得愈发严重,更多的国家出现在我们的ScanMon平台上。仔细分析后我们看到了更多的部分,意识到之前2323/23端口上的扫描还只是巨大拼图的一小部分。就在我们继续深入分析的时候,我们的注意到一个新的情况出现,值得引起安全社区立即注意。下面是对这个情况非常简短和粗糙的说明。 大约从今天中午 (2017-12-05 11:57 AM)开始,我们注意到Satori(一个mirai变种)的新版本正在端口37215和52869上非常快速的传播。这个新变种有两个地方与以往mirai有显
  • Li Fengpei
    Li Fengpei
6 min read
IoT Botnet

安全威胁早期预警:新的mirai僵尸网络变种正在端口23和2323上积极传播

【2017-11-28 更新】 * 原文中提到的两个C2均已被安全社区sinkhole。 * 原文中的 admin/CentryL1nk 是 admin/CenturyL1nk 的笔误。 大约60个小时以前,从2017-11-22 11:00开始,360网络安全研究院注意到在端口2323和23上的扫描流量有一个暴涨现象。其中主要扫描者,大约10万个扫描IP地址位于阿根廷,同时360网络安全研究院也注意到大约有5千个IP地址来自国内。分析以后,目前比较确定这是一个新的mirai变种。 根因分析 在我们蜜罐中,最近有两个新的用户名密码被频繁使用到,分别是 admin/CentryL1nk 和 admin/QwestM0dem 。值得一提,admin/CentryL1nk 这对用户名密码是针对ZyXEL PK5001Z 调制解调器的,在一份上月底的利用 中被批露。 上述两个用户名密码对,被滥用的初始时间在2017-11-22 11:00附近,在2017-11-23 日间达到顶峰。这个时间曲线与我们在Scanmon上观察到2323/23端口的扫描曲线比较一致。 另外
  • Li Fengpei
    Li Fengpei
5 min read