Botnet 北京健康宝被网络攻击背后的数据分析 摘要 北京健康宝在4月28日遭遇DDoS攻击,各保障团队快速响应、通力合作,将攻击影响快速消弭。如同战场,一次攻击被消除,但只要黑恶势力还在,下一次攻击可能已经在路上。为此,我们有必要深度分析一下其背后的攻击团队,了解其规模及攻击手法,做到知彼知己。 通过360Netlab积累的多维度安全威胁数据,我们可以确定这次事件的发起方是我们内部命名为Rippr的团伙,它使用了已经披露过的恶意代码家族Fbot的作为攻击武器。如同现实世界的病毒一样,网络世界的恶意代码往往也基于旧有的恶意代码,不断地被一批又一批有“恶意目的”的人控制来演进、传播、利用。此次事件的Fbot变种,最早发现于2月10日,自被发现以来,它们就异常活跃地参与到DDoS攻击中。截至今日,短短三个月,被跟踪到的攻击事件就超过15w次。 本篇技术评论将带你深潜网络空间,在貌似平静的表面之下,看深渊的暗潮涌动。
Botnet Fodcha, a new DDos botnet OverviewRecently, CNCERT and 360netlab worked together and discovered a rapidly spreading DDoS botnet on the Internet. The global infection looks fairly big as just in China there are more than 10,000 daily
Botnet 新威胁:闷声发大财的Fodcha僵尸网络 本报告由国家互联网应急中心(CNCERT)与三六零数字安全科技集团有限公司共同发布。 概述 近期,CNCERT和三六零数字安全科技集团有限公司共同监测发现一个新的且在互联网上快速传播的DDoS僵尸网络,通过跟踪监测发现其每日上线境内肉鸡数(以IP数计算)已超过1万、且每日会针对超过100个攻击目标发起攻击,给网络空间带来较大威胁。由于该僵尸网络最初使用的C2域名folded.in,以及使用chacha算法来加密网络流量,我们将其命名为Fodcha。 僵尸网络规模 通过监测分析发现,2022年3月29日至4月10日Fodcha僵尸网络日上线境内肉鸡数最高达到1.5万台,累计感染肉鸡数达到6.2万。每日境内上线肉鸡数情况如下。 Netlab按: 根据国外合作伙伴的数据,我们估算该家族全球日活肉鸡数量应该在5.6w+ Fodcha僵尸网络位于境内肉鸡按省份统计,排名前三位的分别为山东省(12.9%)、辽宁省(11.8%
Botnet New Threat: B1txor20, A Linux Backdoor Using DNS Tunnel Background Since the Log4J vulnerability was exposed, we see more and more malware jumped on the wagon, Elknot, Gafgyt, Mirai are all too familiar, on February 9, 2022, 360Netlab's honeypot system captured an
Botnet 新威胁:使用DNS Tunnel技术的Linux后门B1txor20正在通过Log4j漏洞传播 背景 自从Log4J漏洞被曝光后,正所谓"忽如一夜漏洞来,大黑小灰笑开怀”。无数黑产团伙摩拳擦掌加入了这个“狂欢派对”,其中既有许多业界非常熟悉的恶意软件家族,同时也有一些新兴势力想趁着这股东风在黑灰产上分一杯羹。360Netlab作为专注于蜜罐和Botnet检测跟踪的团队,我们自该漏洞被公开后就一直关注它会被哪些僵尸网络利用,期间我们看到了Elknot,Gafgyt,Mirai等老朋友的从不缺席,也见证了一些新朋友的粉墨登场。 2022年2月9日,360Netlab的蜜罐系统捕获了一个未知的ELF文件通过Log4J漏洞传播,此文件在运行时产生的网络流量引发了疑似DNS Tunnel的告警,这引起了我们的兴趣。经过分析,我们确定是一个全新的僵尸网络家族,基于其传播时使用的文件名"b1t",XOR加密算法,以及RC4算法秘钥长度为20字节,它被我们命名为B1txor20。 简单来说,B1txor20是一个针对Linux平台的后门木马, 它利用DNS
DDoS Some details of the DDoS attacks targeting Ukraine and Russia in recent days At 360Netlab, we continuously track botnets on a global scale through our BotMon system. In particular, for DDoS-related botnets, we further tap into their C2 communications to enable us really see the details
Botnet 我们近期看到的针对乌克兰和俄罗斯的DDoS攻击细节 在360Netlab(netlab.360.com),我们持续的通过我们的 BotMon 系统跟踪全球范围内的僵尸网络。特别的,对于DDoS 相关的僵尸网络,我们会进一步跟踪其内部指令,从而得以了解攻击的细节,包括攻击者是谁、受害者是谁、在什么时间、具体使用什么攻击方式。 最近俄乌局势紧张,双方的多个政府、军队和金融机构都遭到了DDoS攻击,我们也不断接收到安全社区的询问,咨询对于最近乌克兰和俄罗斯相关网站 (.ua .ru下属域名)遭受DDoS攻击的具体情况,因此我们特意整理相关数据供安全社区参考。 针对乌克兰的DDoS攻击 下图是我们看到的针对域名以.gov.ua结尾的政府网站的攻击趋势。 可以看到攻击最早始于2月12号,攻击数量和强度都在持续变大,在2月16日达到顶峰,攻击类型则混合了NTP放大、
Log4j 已有10个家族的恶意样本利用Log4j2漏洞传播 背景介绍 2021年12月11号8点整,我们率先捕获到Muhstik僵尸网络样本通过Log4j2 RCE漏洞传播,并首发披露Mirai和Muhstik僵尸网络在野利用详情[1]。 2天来,我们陆续又捕获到其它家族的样本,目前,这个家族列表已经超过10个,这里从漏洞、payload、攻击IP 和样本分析等几个维度介绍我们的捕获情况。 Apache Log4j2 漏洞攻击分布 360网络安全研究院大网蜜罐系统监测到Apache Log4j2 RCE漏洞(CVE-2021-44228)扫描及攻击,源IP地址地理位置分布如下: 国家/地区 攻击源IP数量 Germany 271 The Netherlands 143 China 134
Botnet Threat Alert: Log4j Vulnerability Has Been adopted by two Linux Botnets The Log4j vulnerability that came to light at the end of the year can undoubtedly be considered a major event in the security community. Honeypot and botnet are our bread and butter, and
Log4j 威胁快讯:Log4j漏洞已经被用来组建botnet,针对Linux设备 年末曝光的Log4j漏洞无疑可以算是今年的安全界大事了。作为专注于蜜罐和botnet检测跟踪的团队,我们自该漏洞被公开后就一直关注它会被哪些botnet利用。今早我们等来了首批答案,我们的Anglerfish和Apacket蜜罐先后捕获到2波利用Log4j漏洞组建botnet的攻击,快速的样本分析表明它们分别用于组建 Muhstik 和Mirai botnet,针对的都是Linux设备。样本分析 MIRAI 这一波传播的为miria新变种,相比最初代码,它做了如下变动: 移除了 table_init/table_lock_val/table_unlock_val 等mirai特有的配置管理函数。 attack_init 函数也被抛弃,ddos攻击函数会被指令处理函数直接调用。 同时,其C2域名选用了一个 uy 顶级域的域名,
DDoS EwDoor僵尸网络,正在攻击美国AT&T用户 背景介绍 2021年10月27日,我们的BotMon系统发现有攻击者正通过CVE-2017-6079漏洞攻击Edgewater Networks设备,其payload里有比较罕见的mount文件系统指令,这引起了我们的兴趣,经过分析,我们确认这是一个全新的僵尸网络家族,基于其针对Edgewater产商、并且有Backdoor的功能,我们将它命名为EwDoor。 最初捕获的EwDoor使用了常见的硬编码C2方法,同时采用了冗余机制,单个样本的C2多达14个。Bot运行后会依次向列表中的C2发起网络请求直到成功建立C2会话。这些C2中多数为域名形式,有趣的是它们多数还未来得及注册,因此我们抢注了第二个域名iunno.se以获取Bot的请求。但一开始连接到我们域名的Bot非常少,因为大多数Bot都成功和第一个C2(185.10.68.20)建立连接,这让我们有些许"沮丧"。 转机发生在2021年11月8日,当天7点到10点EwDoor的第一个C2185.10.
DDoS EwDoor Botnet Is Attacking AT&T Customers Background On October 27, 2021, our Botmon system ided an attacker attacking Edgewater Networks' devices via CVE-2017-6079 with a relatively unique mount file system command in its payload, which had our attention, and
DNS The Pitfall of Threat Intelligence Whitelisting: Specter Botnet is 'taking over' Top Legit DNS Domains By Using ClouDNS Service Abstract In order to reduce the possible impact of false positives, it is pretty common practice for security industry to whitelist the top Alexa domains such as www.google.com, www.apple.com,
DDoS Abcbot, an evolving botnet Background Business on the cloud and security on the cloud is one of the industry trends in recent years. 360Netlab is also continuing to focus on security incidents and trends on the cloud
DDoS 僵尸网络Abcbot的进化之路 背景 业务上云、安全上云是近年来业界的发展趋势之一。360Netlab 从自身擅长的技术领域出发,也在持续关注云上安全事件和趋势。下面就是我们近期观察到的一起,被感染设备IP来自多个云供应商平台的安全事件。 2021年7月14日,360BotMon系统发现一个未知的ELF文件(a14d0188e2646d236173b230c59037c7)产生了大量扫描流量,经过分析,我们确定这是一个Go语言实现的Scanner,基于其源码路径中"abc-hello"字串,我们内部将它命名为Abcbot。 Abcbot在当时的时间节点上功能比较简单,可以看成是一个攻击Linux系统的扫描器,通过弱口令&Nday漏洞实现蠕虫式传播。一个有意思的事情是,Abcbot的源码路径中有“dga.go”字串,但是在样本中并没有发现相关的DGA实现,我们推测其作者会在后续的版本中补上这个功能,这让我们对这个家族多了几分留意。
Botnet 一个藏在我们身边的巨型僵尸网络 Pink 本文完成于2020年春节前后,为维护广大最终消费者的利益,一直处于保密期无法发表。近日 CNCERT 公开披露了相关事件,令本文有了公开契机。在保密期的这段时间里,Pink 也出现一些新的小变动,笔者筛选了其中一部分放到“新动向”章节,供其他同仁共同追踪研究。 概述 2019年11月21日,安全社区的信任伙伴给我们提供了一个全新的僵尸网络样本,相关样本中包含大量以 pink 为首的函数名,所以我们称之为 PinkBot。 Pinkbot 是我们六年以来观测到最大的僵尸网络,其攻击目标主要是 mips 光猫设备,在360Netlab的独立测量中,总感染量超过160万,其中 96% 位于中国。 PinkBot
0-day Mirai_ptea_Rimasuta variant is exploiting a new RUIJIE router 0 day to spread Overview In July 2021 we blogged about Mirai_ptea, a botnet spreading through an undisclosed vulnerability in KGUARD DVR. At first we thought it was a short-lived botnet that would soon disappear so
0-day Mirai_ptea_Rimasuta变种正在利用RUIJIE路由器在野0DAY漏洞传播 版权 版权声明:本文为Netlab原创,依据 CC BY-SA 4.0 许可证进行授权,转载请附上出处链接及本声明。 概述 2021年7月我们向社区公布了一个通过KGUARD DVR未公开漏洞传播的僵尸网络Mirai_ptea,一开始我们认为这是一个生命短暂的僵尸网络,不久就会消失不见,因此只给了它一个通用的名字。但很显然我们小看了这个家族背后的团伙,事实上该家族一直非常活跃,最近又观察到该家族正在利用RUIJIE NBR700系列路由器的在野0day漏洞传播。 比较有意思的是,该家族的作者曾经在某次更新的样本中加入了这么一段话吐槽我们的mirai_ptea命名: -_- you guys didnt pick up on the
Botnet The Mostly Dead Mozi and Its’ Lingering Bots Background It has been nearly 2 years since we (360NETLAB) first disclosed the Mozi botnet in December 2019, and in that time we have witnessed its development from a small-scale botnet to a
Botnet Mozi已死,余毒犹存 背景 360NETLAB于2019年12月首次披露了Mozi僵尸网络,到现在已有将近2年时间,在这段时间中,我们见证了它从一个小规模僵尸网络发展为巅峰时占据了极高比例IOT流量巨无霸的过程。 现在Mozi的作者已经被执法机关处置,其中我们也全程提供了技术协助,因此我们认为后续在相当长的一段时间内它都不会继续更新。但我们知道,Mozi采用了P2P网络结构,而P2P网络的一大“优点”是健壮性好, 即使部分节点瘫痪,整个网络仍然能工作。所以即使Mozi作者不再发布新的更新,它仍然会存活一段时间,残余的节点仍然会去感染其它存在漏洞的设备,所以我们现在仍然能看到Mozi在传播,正可谓“百足之虫,死而不僵”。 许多安全厂商都对Mozi进行了跟踪分析,但从我们的角度而言,或多或少有些遗漏,甚至有错误。今天我们将对Mozi的看法总结在下面这篇文章里,以补充安全社区的分析;同时也为我们对Mozi僵尸网络的持续关注画上一个句号。 本文将回答以下问题: 1:Mozi除Bot节点外还有别的功能节点吗? 2:
nday Mirai_ptea Botnet is Exploiting Undisclosed KGUARD DVR Vulnerability Overview On 2021-06-22 we detected a sample of a mirai variant that we named mirai_ptea propagating through a new vulnerability targeting KGUARD DVR. Coincidently, a day later, on June 23, we received
nday Mirai_ptea Botnet利用KGUARD DVR未公开漏洞报告 2021-06-22我们检测到一个我们命名为mirai_ptea的mirai变种样本通过未知漏洞传播。经过分析,该漏洞为KGUARD DVR未公开的漏洞。从我们的分析看该漏洞存在于2016年的固件版本中。我们能找到的2017年之后的固件厂家均已经修复该漏洞
Backdoor 窃密者Facefish分析报告 背景介绍 2021年2月,我们捕获了一个通过CWP的Nday漏洞传播的未知ELF样本,简单分析后发现这是一个新botnet家族的样本。它针对Linux x64系统,配置灵活,并且使用了一个基于Diffie–Hellman和Blowfish的私有加密协议。但因为通过合作机构(在中国区有较好网络通信观察视野)验证后发现对应的C2通信命中为0,所以未再深入分析。 2021年4月26号,Juniper发布了关于此样本的分析报告,我们注意到报告中忽略了一些重要的技术细节,所以决定将漏掉的细节分享出来。 该家族的入口ELF样本MD5=38fb322cc6d09a6ab85784ede56bc5a7是一个Dropper,它会释放出一个Rootkit。因为Juniper并未为样本定义家族名,鉴于Dropper在不同的时间点释放的Rootkit有不同的MD5值,犹如川剧中的变脸,并且该家族使用了Blowfish加密算法,我们将它命名为Facefish。 Facefish概览 Facefish由Dropper和Rootkit 2部分组成,主要功能由Rootkit模块决定。Rootkit工作在Ring3层,利用LD_PRELOAD特性加载,通过Hook
Backdoor Analysis report of the Facefish rootkit Background In Feb 2021, we came across an ELF sample using some CWP’s Ndays exploits, we did some analysis, but after checking with a partner who has some nice visibility in network
Botnet RotaJakiro, the Linux version of the OceanLotus On Apr 28, we published our RotaJakiro backdoor blog, at that time, we didn’t have the answer for a very important question, what is this backdoor exactly for? We asked the community