Botnet Smoke Loader:主体、控制台、插件,以及盗版之殇 Smoke Loader 是一个在黑市上公开销售的僵尸网络软件。其活动时间可以追溯到2011年,虽然近年来已经被多次曝光,但保持持续升级,非常活跃。在我们统计中,仅最近半年活跃的样本就超过 1,500 个。我们在跟踪这一家族的过程中,捕获了一套完整的恶意程序套件,包括其主体Loader、控制台Panel,以及控制台中包含的插件。对这套样本的分析使我们对其运行机制有了更深入的了解,这将是本文的主要内容之一。分析过程中,我们还遇到一组被修改过的特例样本。虽然有人认为这组样本是作者在对抗安全研究人员提取C2主控域名,但仔细分析后,我们认为这是第三方做“盗版”。这部分的分析和研判过程,是本文的主要内容之二。Smoke Loader相关的分析文档已经很多,本文不会涉及已经被公开的部分。相关内容,读者可以参阅文末参考部分。Smoke
DDG DDG 升级: P2P机制加持,样本对抗增强 1. 概述DDG.Mining.Botnet(以下简称DDG)是我们首先感知并披露的挖矿僵尸网络。我们上一篇相关报告发布于 2018.11 月份,针对当时最新的版本 v3014 。最近,DDG 开始了频繁的更新:从 2019.1.3~2019.1.18 的半个月时间内,发布了 v3015~v3019 共 5 个版本,并在 2019.1.27
Botnet “双枪”木马的基础设施更新及相应传播方式的分析 1. 引述 2018.12.23 日,我们的 DNSMon 系统监测到以下三个异常的域名,经过研判这些域名属于 双枪 木马的网络基础设施。考虑到这些域名仅在最近才注册并启用,我们认为双枪木马近期在更新其基础设施,建议安全社区加以关注。 white[.]gogo23424.com www[.]src135.com www[.]x15222.com 双枪 木马是目前我们见过的最复杂的恶意程序之一,最早由 360 安全卫士团队披露,并对其木马工作原理做了详细的技术分析。双枪木马本身集 Rootkit 和
DDG 威胁快讯:DDG 3014 版本 DDG 是一个专注于扫描控制 SSH 、 Redis数据库 和 OrientDB数据库 服务器,并攫取服务器算力挖矿(门罗币)的僵尸网络。我们在2017年10月25日首次感知到 DDG僵尸网络,并在随后发布了报告和报告。最近的一篇 报告 发布于 2018-08,当时 DDG 的版本更新到 3013。 近期,我们注意到 DDG 更新到版本 3014。 1. 基本信息 sample 全家福: v3014 目录下的 sample:
Botnet BCMPUPnP_Hunter: A 100k Botnet Turns Home Routers to Email Spammers This article was co-authored by Hui Wang and RootKiter. Since September 2018, 360Netlab Scanmon has detected multiple scan spikes on TCP port 5431, each time the system logged more than 100k scan sources,
Botnet BCMUPnP_Hunter:疑似10万节点级别的僵尸网络正在滥用家用路由器发送垃圾邮件 本文由 Hui Wang、RootKiter共同撰写 360Netlab在2018年9月注意到一个新的僵尸网络。该僵尸网络的感染数量特别巨大,每个扫描波次中活跃的IP地址为10万左右,值得引起安全社区的警惕。 我们将该僵尸网络命名为 BCMUPnP_Hunter,主要是考虑基其感染目标特征。该僵尸网络有以下几个特点: 感染量特别巨大,每个波次中活跃的扫描IP均在10万左右; 感染目标单一,主要是以BroadCom UPnP为基础的路由器设备; 样本捕获难度大,在高交互蜜罐中需模拟多处设备环境后才能成功捕获; 自建代理网络(tcp-proxy),该代理网络由攻击者自行实现,可以利用 bot端 为跳板,代理访问互联网; 该代理网络目前主要访问Outlook,Hotmail,Yahoo! Mail 等知名邮件服务器,我们高度怀疑攻击者的意图主要是和发送垃圾邮件有关。
DDG Threat Alert: DDG 3013 is Out DDG is a mining botnet mainly focusing on SSH, Redis databases and OrientDB database servers. We captured the first DDG botnet on October 25, 2017, and subsequently released several reports. A recent report
DDG 威胁快讯:DDG 3013 版本 DDG 是一个专注于扫描控制 SSH 、 Redis数据库 和 OrientDB数据库 服务器,并攫取服务器算力挖矿(门罗币)的僵尸网络。我们在2017年10月25日首次感知到 DDG僵尸网络,并在随后发布了多份报告。最近的一篇 报告 发布于 2018-06,当时 DDG 的版本更新到 3012。 今晨,我们注意到 DDG 更新到版本 3013。 IoC C2 149.56.106.215:8000
Botnet Malicious Campaign luoxk Is Actively Exploiting CVE-2018-2893 Author: Zhang Zaifeng, yegenshen, RootKiter, JiaYu On July 18, in an officially released routine patch update, Oracle fixed CVE-2018-2893, an Oracle WebLogic Server remote code execution vulnerability. Three days later, at 2018-07-21 11:
Botnet 恶意代码团伙luoxk正在积极利用 CVE-2018-2893 传播 文章作者:Zhang Zaifeng, yegenshen, RootKiter, JiaYu 7月18日,Oracle在官方发布的例行补丁更新中修复了CVE-2018-2893,一个Oracle WebLogic Server 远程代码执行漏洞。一般认为漏洞影响严重且相关PoC已经公开,建议相关用户尽快进行评估升级。 三天后,2018-07-21 11:24:31 开始,我们注意到一个长久以来我们跟踪的恶意代码团伙正在积极利用该漏洞传播自身。由于该团伙经常使用 luoxkexp[.]com ,我们将其命名为 luoxk 。 该恶意代码团伙第一次触发我们的警铃是在一年前的2017年3月17日,我们的DNSMon系统,在该恶意代码团伙域名注册后的第二天根据算法自动判断该域名异常。 在那以后,我们持续观察了该恶意代码团伙的行为,包括: DDoS攻击:
HNS HNS Botnet Recent Activities Author: Rootkiter, yegenshen HNS is an IoT botnet (Hide and Seek) originally discovered by BitDefender in January this year. In that report, the researchers pointed out that HNS used CVE-2016-10401, and other vulnerabilities
Botnet HNS Botnet 最近活动更新 作者:Rootkiter, yegenshen HNS 僵尸网络(Hide and Seek) 是最初由 BitDefender 于今年 1月 报告 的一个IoT僵尸网络。在那份报告中研究人员指出,HNS 会利用CVE-2016-10401、其他漏洞以及Telnet弱口令投入恶意代码,有执行任意指令和盗取用户信息的恶意行为,传播方式类似蠕虫,感染规模在1月23日至1月24期间快速增长到超过32k。并且,HNS内部通过P2P 机制通信,这是我们所知继 hajime之后第二个利用P2P通信的IoT僵尸网络。 P2P类的僵尸网络很难被根除,HNS 僵尸网络也是如此。在过去的几个月中 HNS 僵尸网络一直在持续更新,我们看到其更新活动包括:
Botnet 威胁快讯:一次僵尸挖矿威胁分析 友商发布了一个威胁分析 报告,我们阐述一下从我们的角度看到的情况。 核心样本 hxxp://120.55.54.65/a7 核心样本是个 Linux Shell 文件,后续动作均由该样本完成,包括: 挖矿获利 确保资源 逃避检测 横向扩展 挖矿获利 具体的挖矿动作是由下面一组样本完成的: hxxps://www.aybc.so/ubuntu.tar.gz hxxps://www.aybc.so/
Satori Botnets never Die, Satori REFUSES to Fade Away Two days ago, on 2018-06-14, we noticed that an updated Satori botnet began to perform network wide scan looking for uc-httpd 1.0.0 devices. Most likely for the vulnerability of XiongMai uc-httpd
Satori 僵尸永远不死,Satori也拒绝凋零 两天前,2018-06-14,我们注意到 Satori 的作者开始扫描收集 uc-httpd 1.0.0 设备的IP地址列表。这或许是为了针对4月公开的脆弱性 XiongMai uc-httpd 1.0.0 (CVE-2018-10088) 在做准备。这些扫描活动导致了近期在 80 和 8000 端口上的扫描流量大涨。 3小时前,就在我们撰写本篇文章的同时,Satori 作者又发布了一个更新版本。这个更新是个蠕虫,针对 D-Link DSL-2750B 设备,对应的漏洞利用在5月25日刚刚
Botnet Old Botnets never Die, and DDG REFUSE to Fade Away DDG is a mining botnet that specializes in exploiting SSH, Redis database and OrientDB database servers. We first caught it on October 25, 2017, at that time, DDG used version number 2020 and
Botnet 僵尸永远不死,DDG拒绝凋零 DDG 是一个专注于扫描控制 SSH 、 Redis数据库 和 OrientDB数据库 服务器,并攫取服务器算力挖矿(门罗币)的僵尸网络。我们在2017年10月25日首次感知到 DDG僵尸网络,并在随后展开了持续的分析和跟踪。在这期间,我们注意到该僵尸网络有两个内部保留域名尚未注册,我们抢注了这两个域名,并利用到这两个域名的流量精确记录了该僵尸网络感染的 4,391 个IP地址。在那段时间中,DDG 的主要流行版本是 2020、2021。以上内容详细记录在我们 2018年2月发布的 报告中。 有些僵尸网络的作者,会在我们发布分析报告之后悄然离去,比如 http81(persirai)
DDG DDG.Mining.Botnet 近期活动分析 UPDATE(2018.6.13) 6.12 日,我们监测到 DDG.Mining.Botnet 又发布了新版本,最新版本为 v3012 ,更新概要如下: 更换主 C2 为 69.64.32.12:8000 ; 修改用来持久驻留的 i.sh 脚本; 更新备用 C2 IP 列表; 云端配置文件的结构、编码方式没有变化,
Botnet Botnet Muhstik is Actively Exploiting Drupal CVE-2018-7600 in a Worm Style On March 28, 2018, drupal released a patch for CVE-2018-7600. Drupal is an open-source content management system written in PHP, quite popular in many sites to provide web service. This vulnerability exists in
msraminter MsraMiner 被曝光后72小时内的更新 3月16日,我们文章 中,提到了 MsraMiner,一个潜伏已久的挖矿僵尸网络。 DNSMon 在过去的72小时内,提示我们该僵尸网络有更新,如下: 样本压缩包文件改名为 ProximityUntilCache32.tlb ,原来叫 MsraReportDataCache32.tlb 矿机程序被重命名为 WUDHostServices.exe ,原来是 TrustedHostServices.exe 样本里的 C2 Domain 被替换为 tsk.tknuv.com / err.tknuv.com / slo.
msraminter MsraMiner: 潜伏已久的挖矿僵尸网络 2017 年 11 月底,我们的 DNSMon 系统监测到几个疑似 DGA 产生的恶意域名活动有异常。经过我们深入分析,确认这背后是一个从 2017 年 5 月份运行至今的大型挖矿僵尸网络(Mining Botnet)。此僵尸网络最新的核心样本压缩包文件名为 MsraReportDataCache32.tlb ,我们将其命名为MsraMiner Botnet。 该僵尸网络的特征包括: 运行时间:2017 年 5 月份运行至今 传播方式: 利用 NSA 武器库来感染,通过
Botnet ADB.Miner:恶意代码正在利用开放了ADB 接口的安卓设备挖矿 作者:Hui Wang, RootKiter, twitter/360Netlab 大约24小时前,从 2018-02-03 15:00 开始,一组恶意代码开始蠕虫式快速传播,我们分析了这个安全威胁,一些快速的结果如下: 传播时间:最早的感染时间可以回溯到 1月31日附近。当前这波蠕虫式感染从 2018-02-03 下午 15:00 附近开始被我们的系统检测到,目前仍在持续增长。 感染端口:5555,是安卓设备上 adb 调试接口的工作端口,这个端口正常应该被关闭,但未知原因导致部分设备错误的打开了该端口 蠕虫式感染:
Botnet Early Warning: ADB.Miner A Mining Botnet Utilizing Android ADB Is Now Rapidly Spreading Author:Hui Wang, RootKiter, twitter/360Netlab About 24 hours ago, around 2018-02-03 15:00(GMT +8), a set of malicious code began to spread rapidly, here are some quick facts: Timeline : the earliest
Botnet DDG: A Mining Botnet Aiming at Database Servers Starting 2017-10-25, we noticed there was a large scale ongoing scan targeting the OrientDB databases. Further analysis found that this is a long-running botnet whose main goal is to mine Monero CryptoCurrency. We
Botnet DDG.Mining.Botnet:一个瞄准数据库服务器的挖矿僵尸网络 从 2017-10-25 开始,我们监控到有恶意代码在大规模扫描互联网上的 OrientDB 数据库服务器。进一步的分析发现,这是一个长期运营的僵尸网络,其主要目标是挖取门罗币(XMR,Monero CryptoCurrency)。我们将其命名为 DDG 挖矿僵尸网络 (DDG Mining Botnet,以下简称 DDG) ,主要原因是因为其核心功能模块的名称为 DDG。 DDG 累积挖取的门罗币数目较大。目前我们能够确认该僵尸网络累积挖取的已经超过 3,395枚门罗币,按当前价格折合人民币 ¥5,821,657 。另外因为矿池记账系统的问题,有2,