Backdoor

窃密者Facefish分析报告

背景介绍 2021年2月,我们捕获了一个通过CWP的Nday漏洞传播的未知ELF样本,简单分析后发现这是一个新botnet家族的样本。它针对Linux x64系统,配置灵活,并且使用了一个基于Diffie–Hellman和Blowfish的私有加密协议。但因为通过合作机构(在中国区有较好网络通信观察视野)验证后发现对应的C2通信命中为0,所以未再深入分析。 2021年4月26号,Juniper发布了关于此样本的分析报告,我们注意到报告中忽略了一些重要的技术细节,所以决定将漏掉的细节分享出来。 该家族的入口ELF样本MD5=38fb322cc6d09a6ab85784ede56bc5a7是一个Dropper,它会释放出一个Rootkit。因为Juniper并未为样本定义家族名,鉴于Dropper在不同的时间点释放的Rootkit有不同的MD5值,犹如川剧中的变脸,并且该家族使用了Blowfish加密算法,我们将它命名为Facefish。 Facefish概览 Facefish由Dropper和Rootkit 2部分组成,主要功能由Rootkit模块决定。Rootkit工作在Ring3层,利用LD_PRELOAD特性加载,通过Hook

  • Alex.Turing
    Alex.Turing
  • jinye
    jinye
  • Chai Linyuan
    Chai Linyuan
17 min read
Botnet

“双头龙”源自海莲花组织?

我们的双头龙blog发布后引起了较大反响,除了媒体转载,一些安全同行还纷纷在我们blog下面留言和提问,其中5月4号的一则留言提到双头龙跟海莲花(OceanLotus)样本的C2行为有联系: 留言所提到的样本为一个zip打包文件,2016年就已出现。该zip可以解压出多个文件,那个名为Noi dung chi tiet(对应中文详细信息)的Mach-O格式可执行文件即是海莲花样本。对比分析显示该样本确实与双头龙样本存在多个相似之处,所以它们或许可以解开双头龙的身世之谜:它极可能是海莲花的Linux版本。本文主要从2进制代码层面介绍这些相似点。 相似点1:C2会话建立函数 Linux常见的域名解析函数为gethostbyname(),但双头龙使用了相对小众的getaddrinfo()函数,C2域名的解析和会话建立都在一个函数中完成,而海莲花样本中也存在一个模式类似的相同功能的函数,2者的函数对比如下: 能看出来它们不但功能相同,对sprintf()和getaddrinfo()的使用方式也几乎一模一样。此外,双头龙和海莲花都使用了单独的数据结构来保存C2会话信息,

  • Alex.Turing
    Alex.Turing
6 min read
sysrv

威胁快讯:Sysrv-hello再次升级,通过感染网页文件提高传播能力

版权 版权声明: 本文为Netlab原创,依据 CC BY-SA 4.0 许可证进行授权,转载请附上出处链接及本声明。 概述 从去年末到现在,挖矿类型的botnet家族一直活跃,除了新家族不断出现,一些老家族也频繁升级,主要是为了提高传播能力和隐蔽性,我们的 BotMon 系统对此多有检测[rinfo][z0miner]。最新的案例来自Sysrv-hello,本来近期已经有2家安全公司先后分析过该家族的新变种[1][2],但文章刚出来sysrv的作者就在4月20号再次进行升级,增加了感染网页的能力,本文对此做一分析。 新模块a.py和BrowserUpdate.exe 我们知道sysrv能同时感染Linux和Windows系统,其入口为一个脚本文件,

  • LIU Ya
  • YANG XU
    YANG XU
  • jinye
    jinye
4 min read
Botnet

双头龙(RotaJakiro),一个至少潜伏了3年的后门木马

版权 版权声明:本文为Netlab原创,依据 CC BY-SA 4.0 许可证进行授权,转载请附上出处链接及本声明。 概述 2021年3月25日,360 NETLAB的BotMon系统发现一个的VT 0检测的可疑ELF文件(MD5=64f6cfe44ba08b0babdd3904233c4857),它会与4个业务类型截然不同的域名进行通信,端口均为TCP 443(HTTPS),但流量却并非TLS/SSL类型,这个异常行为引起了我们的兴趣,进一步分析发现它是一个针对Linux X64系统的后门木马,该家族至少已经存在3年但目前还是0检测。基于该家族使用rotate加密,并且运行后对root/non-root账户有不同的行为,犹如一只双头龙,一体双向,我们将它命名为RotaJakiro。

  • Alex.Turing
    Alex.Turing
  • Hui Wang
    Hui Wang
16 min read
New Threat

新威胁:ZHtrap僵尸网络分析报告

版权 版权声明:本文为Netlab原创,依据 CC BY-SA 4.0 许可证进行授权,转载请附上出处链接及本声明。 概述 从2021年2月28日起,360网络安全研究院的BotMon系统检测到IP(107.189.30.190)在持续传播一批未知ELF样本。经分析,我们确认这些样本隶属于一个新的botnet家族,结合其运行特点,我们将其命名为ZHtrap,本文对其做一分析,文章要点如下: ZHtrap的传播使用了4个Nday漏洞,主要功能依然是DDoS和扫描,同时集成了一些后门功能。 Zhtrap能将被感染设备蜜罐化,目的是提高扫描效率。 Zhtrap感染受害主机后会禁止运行新的命令,以此实现彻底控制和独占该设备。 在C2通信上,ZHtrap借鉴了套娃,

  • Alex.Turing
    Alex.Turing
  • liuyang
  • YANG XU
    YANG XU
15 min read
Botnet

威胁快讯:z0Miner 正在利用 ElasticSearch 和 Jenkins 漏洞大肆传播

版权版权声明: 本文为Netlab原创,依据 CC BY-SA 4.0 许可证进行授权,转载请附上出处链接及本声明。概述最近几个月受比特币、门罗币大涨的刺激,各种挖矿家族纷纷活跃起来,我们的 BotMon 系统每天都能检测到几十上百起的挖矿类 Botnet 攻击事件。根据我们统计,它们多数是已经出现过的老家族,有的只是换了新的钱包或者传播方式,z0Miner 就是其中一例。z0Miner 是去年开始活跃的一个恶意挖矿家族,业界已有公开的分析。z0Miner 最初活跃时,利用 Weblogic 未授权命令执行漏洞进行传播。近期,360 网络安全研究院

  • JiaYu
4 min read
Necro

Gafgtyt_tor,Necro作者再次升级“武器库”

版权 版权声明: 本文为Netlab原创,依据CC BY-SA 4.0 许可证进行授权,转载请附上出处链接及本声明。 概述 自2021年2月15号起,360Netlab的BotMon系统持续检测到Gafgyt家族的一个新变种,它使用Tor进行C2通信以隐藏真实C2,并对样本中的敏感字符串做了加密处理。这是我们首次发现使用Tor机制的Gafgyt变种,所以将该变种命名为Gafgyt_tor。进一步分析发现该家族与我们1月份公开的Necro家族有紧密联系,背后为同一伙人,即所谓的keksec团伙[1] [2]。检索历史样本发现该团伙长期运营Linux IoT botnet,除了Necro和Gafgyt_tor,他们还曾运营过Tsunami和其它Gafgyt变种botnet。本文将介绍Gafgyt_tor,并对该团伙近期运营的其它botnet做一梳理。 本文关键点如下: Gafgyt_

  • jinye
    jinye
15 min read
Botnet

Fbot僵尸网络正在攻击交通和运输智能设备

背景介绍 Fbot是一个基于Mirai的僵尸网络,它一直很活跃,此前我们曾多次披露过该僵尸网络[1][2]。我们已经看到Fbot僵尸网络使用了多个物联网(Internet of things)设备的N-day漏洞和0-day漏洞(部分未披露),现在它正在攻击车联网(Internet of Vehicles)领域的智能设备,这是一个新现象。 2021年2月20号,360网络安全研究院未知威胁检测系统监测到攻击者正在使用美国Iteris, Inc.公司的Vantage Velocity产品的远程命令执行漏洞(CVE-2020-9020)[3][4],传播Fbot僵尸网络样本。 据维基百科介绍[5],Iteris, Inc.公司为智能移动基础设施管理提供软件和咨询服务,包括软件即服务以及托管和咨询服务,

  • Genshen Ye
    Genshen Ye
  • Alex.Turing
    Alex.Turing
7 min read
DGA

Necro在频繁升级,新版本开始使用PyInstaller和DGA

概述 Necro是一个经典的Python编写的botnet家族,最早发现于2015年,早期针对Windows系统,常被报为Python.IRCBot,作者自己则称之为N3Cr0m0rPh(Necromorph)。自2021年1月1号起,360Netlab的BotMon系统持续检测到该家族的新变种,先后有3个版本的样本被检测到,它们均针对Linux系统,并且最新的版本使用了DGA技术来生成C2域名对抗检测。本文将对最近发现的Necro botnets做一分析。 本文的关键点如下: 1,Necro最新版的感染规模在万级,并且处于上升趋势。 2,在传播方式上,Necro支持多种方式,并且持续集成新公开的1-day漏洞,攻击能力较强。 3,最新版Necro使用了DGA技术生成C2域名,Python脚本也经过重度混淆以对抗静态分析。 4,目前传播的不同版本Necro botnet背后为同一伙人,并且主要针对Linux设备。 5,最新的2个版本为了确保能在没有Python2的受害机器上执行,

  • jinye
    jinye
16 min read
0-day

Moobot 在野0day利用之UNIXCCTV DVR命令注入

本报告由国家互联网应急中心(CNCERT)与北京奇虎科技有限公司(360)共同发布 概述 Moobot是一个基于Mirai开发的僵尸网络,自从其出现就一直很活跃,并且拥有0day漏洞利用的能力。我们有多篇和该botnet相关的文章,感兴趣的读者可以去阅读[1][2][3]。本文主要介绍CNCERT和360公司共同发现的Moobot针对UNIXCCTV DVR/NVR设备的0day利用。关于该漏洞的详细细节我们通知了厂家,并且确认当前厂家已经修复了该漏洞,发布了相应的补丁[ALL265 unix 2.3.7.8B09][NVR unix 2.3.7.8B05][ALL

  • Hui Wang
    Hui Wang
  • Alex.Turing
    Alex.Turing
9 min read
Botnet

Linux.Ngioweb变种正在攻击IOT设备

背景介绍 2019年6月21日,我们向社区公布了一个新的Proxy Botnet,Linux.Ngioweb的分析报告。 2020年8月4日,360Netlab未知威胁检测系统捕获到一批VT零检测的疑似Ngioweb的ELF文件,经分析,我们确定它们属于同一个变种,简单地将其命名为Ngioweb V2。 2020年8月16日,360Netlab蜜罐系统发现攻击者陆续使用了9个Nday漏洞传播Ngioweb V2样本,涉及到x86(32/64), ARM(32/64), MIPS(MIPS32/MIPS-III) 以及 PPC,Hitachi SH,IBM S/390等CPU架构,标志着Ngioweb开始攻击IOT设备。同时支持众多的CPU架构,

  • Alex.Turing
    Alex.Turing
  • Hui Wang
    Hui Wang
35 min read