Botnet

那些总是想要和别人强行发生关系的僵尸网络之Emptiness

背景 2019年06月23日我们捕获了一个全新的DDoS僵尸网络样本,因其启动时设置的进程名以及C2中有emptiness字样,所以我们将其命名为Emptiness。Emptiness由golang编写,当前发现的样本包括Windows和Linux两种平台版本。在溯源过程中,我们发现其作者长期维护着一个mirai变种僵尸网络,早期的Emptiness自身没有传播能力只有DDoS功能,是由mirai loader来完成样本植入的,后期的版本增加了ssh扫描功能,可独立完成Emptiness自身样本的传播。我们还注意到其不断修改mirai变种和Emptiness的CC协议,也许是为了对抗安全研究人员跟踪其僵尸网络攻击行为。 Emptiness的那些事 我们猜测其最早出现时间应该是2019年06月09日,遗憾的是当时我们并没有成功下载到http:[//blogentry.hopto.org/emptiness相关的样本。下图是我们捕获这个URL的时间, 2019-06-23日我们首次捕获到该僵尸网络样本v1版本 2019-06-26日我们首次捕获到该僵尸网络样本v1.1版本 2019-07-03日我们曝光了其DDoS攻击行为 2019-07-06作者更新v2版本样本,并在样本中留下了一匹"羊驼"。表示想要和我们强行发生关系。

  • Hui Wang
    Hui Wang
  • Alex.Turing
    Alex.Turing
7 min read
Botnet

一些Fiberhome路由器正在被利用为SSH隧道代理节点

背景介绍 2019年7月24号,360Netlab未知威胁检测系统发现一个可疑的ELF文件,目前在VirusTotal上还没有一款杀毒引擎检测识别。通过详细分析,我们确定这是一款针对Fiberhome路由器设备Reporter程序。它会定时获取设备IP等信息并上传给一个Web接口,以此来解决设备IP变更的问题。 我们还观察到攻击者在Windows和Linux平台上开发了相应的客户端程序,通过访问Web接口获取Reporter上报的设备IP等信息,然后使用一些预留的后门账号密码建立SSH隧道(Dynamic Port Forwarding),并在本地创建Socks5代理服务。我们根据攻击者使用的域名,将这些恶意软件统一命名为Gwmndy。 此外,与其他Botnet不同的是,攻击者并没有持续扩张Bot数量,我们猜测对于攻击者来说每天有180多个活跃的SSH隧道代理节点就已经满足他的需求了。 Gwmndy概览 Gwmndy恶意软件主要包括vpn.sh脚本,Reporter和SSH Client程序,并且通过一个Web服务器给它们提供相应的Web接口,用来传输Bot IP等相关信息。 Gwmndy样本分析 vpn.sh样本信息 MD5:

  • yegenshen
    yegenshen
6 min read
Godlua

Godlua Backdoor分析报告

背景介绍 2019年4月24号,360Netlab未知威胁检测系统发现一个可疑的ELF文件,目前有一部分杀软误识别为挖矿程序。通过详细分析,我们确定这是一款Lua-based Backdoor,因为这个样本加载的Lua字节码文件幻数为“God”,所以我们将它命名为Godlua Backdoor。 Godlua Backdoor会使用硬编码域名,Pastebin.com,GitHub.com和DNS TXT记录等方式,构建存储C2地址的冗余机制。同时,它使用HTTPS加密下载Lua字节码文件,使用DNS over HTTPS获取C2域名解析,保障Bot与Web Server和C2之间的安全通信。 我们观察到Godlua Backdoor实际上存在2个版本,并且有在持续更新。我们还观察到攻击者会通过Lua指令,动态运行Lua代码,并对一些网站发起HTTP Flood

  • Alex.Turing
    Alex.Turing
  • yegenshen
    yegenshen
10 min read
DDG

威胁快讯:DDG 近期更新(v3021/v3022版本)

1. 综述DDG 是一个专注于扫描控制 SSH 端口、 Redis 数据库 和 OrientDB 数据库服务器,并攫取服务器算力挖矿(门罗币)的僵尸网络。我们在 2017 年 10 月 25 日首次感知到 DDG 僵尸网络,并发布技术分析报告。之后 DDG 数次更新版本,我们也跟踪分析并发布数篇分析报告,报告列表如下,全部的报告列表在 这里:DDG.Mining.Botnet:

  • JiaYu
    JiaYu
10 min read
Botnet

Smoke Loader:主体、控制台、插件,以及盗版之殇

Smoke Loader 是一个在黑市上公开销售的僵尸网络软件。其活动时间可以追溯到2011年,虽然近年来已经被多次曝光,但保持持续升级,非常活跃。在我们统计中,仅最近半年活跃的样本就超过 1,500 个。我们在跟踪这一家族的过程中,捕获了一套完整的恶意程序套件,包括其主体Loader、控制台Panel,以及控制台中包含的插件。对这套样本的分析使我们对其运行机制有了更深入的了解,这将是本文的主要内容之一。分析过程中,我们还遇到一组被修改过的特例样本。虽然有人认为这组样本是作者在对抗安全研究人员提取C2主控域名,但仔细分析后,我们认为这是第三方做“盗版”。这部分的分析和研判过程,是本文的主要内容之二。Smoke Loader相关的分析文档已经很多,本文不会涉及已经被公开的部分。相关内容,读者可以参阅文末参考部分。Smoke

  • jinye
13 min read
Botnet

“双枪”木马的基础设施更新及相应传播方式的分析

1. 引述 2018.12.23 日,我们的 DNSMon 系统监测到以下三个异常的域名,经过研判这些域名属于 双枪 木马的网络基础设施。考虑到这些域名仅在最近才注册并启用,我们认为双枪木马近期在更新其基础设施,建议安全社区加以关注。 white[.]gogo23424.com www[.]src135.com www[.]x15222.com 双枪 木马是目前我们见过的最复杂的恶意程序之一,最早由 360 安全卫士团队披露,并对其木马工作原理做了详细的技术分析。双枪木马本身集 Rootkit 和

  • JiaYu
    JiaYu
26 min read
DDG

威胁快讯:DDG 3014 版本

DDG 是一个专注于扫描控制 SSH 、 Redis数据库 和 OrientDB数据库 服务器,并攫取服务器算力挖矿(门罗币)的僵尸网络。我们在2017年10月25日首次感知到 DDG僵尸网络,并在随后发布了报告和报告。最近的一篇 报告 发布于 2018-08,当时 DDG 的版本更新到 3013。 近期,我们注意到 DDG 更新到版本 3014。 1. 基本信息 sample 全家福: v3014 目录下的 sample:

  • JiaYu
    JiaYu
5 min read
Botnet

BCMUPnP_Hunter:疑似10万节点级别的僵尸网络正在滥用家用路由器发送垃圾邮件

本文由 Hui Wang、RootKiter共同撰写 360Netlab在2018年9月注意到一个新的僵尸网络。该僵尸网络的感染数量特别巨大,每个扫描波次中活跃的IP地址为10万左右,值得引起安全社区的警惕。 我们将该僵尸网络命名为 BCMUPnP_Hunter,主要是考虑基其感染目标特征。该僵尸网络有以下几个特点: 感染量特别巨大,每个波次中活跃的扫描IP均在10万左右; 感染目标单一,主要是以BroadCom UPnP为基础的路由器设备; 样本捕获难度大,在高交互蜜罐中需模拟多处设备环境后才能成功捕获; 自建代理网络(tcp-proxy),该代理网络由攻击者自行实现,可以利用 bot端 为跳板,代理访问互联网; 该代理网络目前主要访问Outlook,Hotmail,Yahoo! Mail 等知名邮件服务器,我们高度怀疑攻击者的意图主要是和发送垃圾邮件有关。

  • Hui Wang
    Hui Wang
11 min read
Botnet

恶意代码团伙luoxk正在积极利用 CVE-2018-2893 传播

文章作者:Zhang Zaifeng, yegenshen, RootKiter, JiaYu 7月18日,Oracle在官方发布的例行补丁更新中修复了CVE-2018-2893,一个Oracle WebLogic Server 远程代码执行漏洞。一般认为漏洞影响严重且相关PoC已经公开,建议相关用户尽快进行评估升级。 三天后,2018-07-21 11:24:31 开始,我们注意到一个长久以来我们跟踪的恶意代码团伙正在积极利用该漏洞传播自身。由于该团伙经常使用 luoxkexp[.]com ,我们将其命名为 luoxk 。 该恶意代码团伙第一次触发我们的警铃是在一年前的2017年3月17日,我们的DNSMon系统,在该恶意代码团伙域名注册后的第二天根据算法自动判断该域名异常。 在那以后,我们持续观察了该恶意代码团伙的行为,包括: DDoS攻击:

  • Zhang Zaifeng
    Zhang Zaifeng
5 min read
Botnet

HNS Botnet 最近活动更新

作者:Rootkiter, yegenshen HNS 僵尸网络(Hide and Seek) 是最初由 BitDefender 于今年 1月 报告 的一个IoT僵尸网络。在那份报告中研究人员指出,HNS 会利用CVE-2016-10401、其他漏洞以及Telnet弱口令投入恶意代码,有执行任意指令和盗取用户信息的恶意行为,传播方式类似蠕虫,感染规模在1月23日至1月24期间快速增长到超过32k。并且,HNS内部通过P2P 机制通信,这是我们所知继 hajime之后第二个利用P2P通信的IoT僵尸网络。 P2P类的僵尸网络很难被根除,HNS 僵尸网络也是如此。在过去的几个月中 HNS 僵尸网络一直在持续更新,我们看到其更新活动包括:

  • RootKiter
    RootKiter
5 min read
Satori

僵尸永远不死,Satori也拒绝凋零

两天前,2018-06-14,我们注意到 Satori 的作者开始扫描收集 uc-httpd 1.0.0 设备的IP地址列表。这或许是为了针对4月公开的脆弱性 XiongMai uc-httpd 1.0.0 (CVE-2018-10088) 在做准备。这些扫描活动导致了近期在 80 和 8000 端口上的扫描流量大涨。 3小时前,就在我们撰写本篇文章的同时,Satori 作者又发布了一个更新版本。这个更新是个蠕虫,针对 D-Link DSL-2750B 设备,对应的漏洞利用在5月25日刚刚

  • RootKiter
    RootKiter
8 min read