DDoS

那些和185.244.25.0/24网段有关的Botnet

根据我们的观察,过去几年185.244.25.0/24这个网段出现了超多的Botnet,包括但不仅限于mirai、gafgyt、tsunami、fbot、moobot、handymanny等,他们属于同一个组织或共享了相关代码。下表是过去一年我们关于该网段的一些统计数据。可以看出该网段有很多的CC和攻击行为。 Count of CC (host:port) Count of attack target host Count of downloader IP Count of loader IP 416 36933 166 181 本文主要介绍和该网段有关最近比较活跃/有趣的几个Botnet家族,包括moobot、fbot、handymanny等。 对于其他Botnet为了方便读者了解该网段下具体有那些Botnet及其变种,我们用该网段下的Loader IP植入样本阶段使用的关键字生成一张Tag cloud图,大致反应该网段下有那些Botnet及其变种。如下图所示: moobot moobot基于mirai开发。
  • Hui Wang
    Hui Wang
  • Alex.Turing
    Alex.Turing
  • LIU Ya
    LIU Ya
  • Genshen Ye
    Genshen Ye
9 min read
Botnet

那些总是想要和别人强行发生关系的僵尸网络之Emptiness

背景 2019年06月23日我们捕获了一个全新的DDoS僵尸网络样本,因其启动时设置的进程名以及C2中有emptiness字样,所以我们将其命名为Emptiness。Emptiness由golang编写,当前发现的样本包括Windows和Linux两种平台版本。在溯源过程中,我们发现其作者长期维护着一个mirai变种僵尸网络,早期的Emptiness自身没有传播能力只有DDoS功能,是由mirai loader来完成样本植入的,后期的版本增加了ssh扫描功能,可独立完成Emptiness自身样本的传播。我们还注意到其不断修改mirai变种和Emptiness的CC协议,也许是为了对抗安全研究人员跟踪其僵尸网络攻击行为。 Emptiness的那些事 * 我们猜测其最早出现时间应该是2019年06月09日,遗憾的是当时我们并没有成功下载到http:[//blogentry.hopto.org/emptiness相关的样本。下图是我们捕获这个URL的时间, * 2019-06-23日我们首次捕获到该僵
  • Hui Wang
    Hui Wang
  • Alex.Turing
    Alex.Turing
7 min read
Botnet

一些Fiberhome路由器正在被利用为SSH隧道代理节点

背景介绍 2019年7月24号,360Netlab未知威胁检测系统发现一个可疑的ELF文件,目前在VirusTotal上还没有一款杀毒引擎检测识别。通过详细分析,我们确定这是一款针对Fiberhome路由器设备Reporter程序。它会定时获取设备IP等信息并上传给一个Web接口,以此来解决设备IP变更的问题。 我们还观察到攻击者在Windows和Linux平台上开发了相应的客户端程序,通过访问Web接口获取Reporter上报的设备IP等信息,然后使用一些预留的后门账号密码建立SSH隧道(Dynamic Port Forwarding),并在本地创建Socks5代理服务。我们根据攻击者使用的域名,将这些恶意软件统一命名为Gwmndy。 此外,与其他Botnet不同的是,攻击者并没有持续扩张Bot数量,我们猜测对于攻击者来说每天有180多个活跃的SSH隧道代理节点就已经满足他的需求了。 Gwmndy概览 Gwmndy恶意软件主要包括vpn.sh脚本,Reporter和SSH Client程序,并且通过一个Web服务器给它们提供相应的Web接口,用来传输Bot IP
  • Genshen Ye
    Genshen Ye
6 min read
Godlua

Godlua Backdoor分析报告

背景介绍 2019年4月24号,360Netlab未知威胁检测系统发现一个可疑的ELF文件,目前有一部分杀软误识别为挖矿程序。通过详细分析,我们确定这是一款Lua-based Backdoor,因为这个样本加载的Lua字节码文件幻数为“God”,所以我们将它命名为Godlua Backdoor。 Godlua Backdoor会使用硬编码域名,Pastebin.com,GitHub.com和DNS TXT记录等方式,构建存储C2地址的冗余机制。同时,它使用HTTPS加密下载Lua字节码文件,使用DNS over HTTPS获取C2域名解析,保障Bot与Web Server和C2之间的安全通信。 我们观察到Godlua Backdoor实际上存在2个版本,并且有在持续更新。我们还观察到攻击者会通过Lua指令,动态运行Lua代码,并对一些网站发起HTTP Flood 攻击。 概览 目前,我们看到的Godlua Backdoor主要存在2个版本,201811051556版本是通过遍历Godlua下载服务器得到,我们没有看到它有更新。当前Godlua Backdoor活跃
  • Alex.Turing
    Alex.Turing
  • Genshen Ye
    Genshen Ye
10 min read
Botnet

Smoke Loader:主体、控制台、插件,以及盗版之殇

Smoke Loader 是一个在黑市上公开销售的僵尸网络软件。其活动时间可以追溯到2011年,虽然近年来已经被多次曝光,但保持持续升级,非常活跃。在我们统计中,仅最近半年活跃的样本就超过 1,500 个。 我们在跟踪这一家族的过程中,捕获了一套完整的恶意程序套件,包括其主体Loader、控制台Panel,以及控制台中包含的插件。对这套样本的分析使我们对其运行机制有了更深入的了解,这将是本文的主要内容之一。 分析过程中,我们还遇到一组被修改过的特例样本。虽然有人认为这组样本是作者在对抗安全研究人员提取C2主控域名,但仔细分析后,我们认为这是第三方做“盗版”。这部分的分析和研判过程,是本文的主要内容之二。 Smoke Loader相关的分析文档已经很多,本文不会涉及已经被公开的部分。相关内容,读者可以参阅文末参考部分。 Smoke Loader 套件分析 套件中的文件结构见后图,说明如下: * 本体,Loader_new_Cyberbunker.exe * Web控制台,Panel ,使用未加密的PHP语言编写 * 插件,包括 Panel/mods 和
  • jinye
    jinye
13 min read
Botnet

“双枪”木马的基础设施更新及相应传播方式的分析

1. 引述 2018.12.23 日,我们的 DNSMon 系统监测到以下三个异常的域名,经过研判这些域名属于 双枪 木马的网络基础设施。考虑到这些域名仅在最近才注册并启用,我们认为双枪木马近期在更新其基础设施,建议安全社区加以关注。 white[.]gogo23424.com www[.]src135.com www[.]x15222.com 双枪 木马是目前我们见过的最复杂的恶意程序之一,最早由 360 安全卫士团队披露,并对其木马工作原理做了详细的技术分析。双枪木马本身集 Rootkit 和 Bootkit(同时感染 MBR 和 VBR)于一身,还有诸多对抗措施。除此之外,双枪木马恶意活动相关的网络基础设施十分庞杂,感染路径繁琐、传播手段多样,涉及的黑灰产业务种类也五花八门。 之前对双枪木马的公开披露内容主要涉及双枪木马本身的工作原理、涉及的黑灰产业务以及部分溯源。对其传播过程的技术细节少有涉及。在双枪木马多种多样的传播方式中,按照我们的统计,
  • JiaYu
25 min read
Botnet

BCMUPnP_Hunter:疑似10万节点级别的僵尸网络正在滥用家用路由器发送垃圾邮件

本文由 Hui Wang、RootKiter共同撰写 360Netlab在2018年9月注意到一个新的僵尸网络。该僵尸网络的感染数量特别巨大,每个扫描波次中活跃的IP地址为10万左右,值得引起安全社区的警惕。 我们将该僵尸网络命名为 BCMUPnP_Hunter,主要是考虑基其感染目标特征。该僵尸网络有以下几个特点: * 感染量特别巨大,每个波次中活跃的扫描IP均在10万左右; * 感染目标单一,主要是以BroadCom UPnP为基础的路由器设备; * 样本捕获难度大,在高交互蜜罐中需模拟多处设备环境后才能成功捕获; * 自建代理网络(tcp-proxy),该代理网络由攻击者自行实现,可以利用 bot端 为跳板,代理访问互联网; * 该代理网络目前主要访问Outlook,Hotmail,Yahoo! Mail 等知名邮件服务器,我们高度怀疑攻击者的意图主要是和发送垃圾邮件有关。 处理时间线 * 2013年10月 DefenseCode的安全研究人员发现Broadcom UPnP 实现存在重大安全漏洞。考虑到漏洞的严重性,并没有立即公开他们的发现。 *
  • Hui Wang
    Hui Wang
11 min read
Botnet

恶意代码团伙luoxk正在积极利用 CVE-2018-2893 传播

文章作者:Zhang Zaifeng, yegenshen, RootKiter, JiaYu 7月18日,Oracle在官方发布的例行补丁更新中修复了CVE-2018-2893,一个Oracle WebLogic Server 远程代码执行漏洞。一般认为漏洞影响严重且相关PoC已经公开,建议相关用户尽快进行评估升级。 三天后,2018-07-21 11:24:31 开始,我们注意到一个长久以来我们跟踪的恶意代码团伙正在积极利用该漏洞传播自身。由于该团伙经常使用 luoxkexp[.]com ,我们将其命名为 luoxk 。 该恶意代码团伙第一次触发我们的警铃是在一年前的2017年3月17日,我们的DNSMon系统,在该恶意代码团伙域名注册后的第二天根据算法自动判断该域名异常。 在那以后,我们持续观察了该恶意代码团伙的行为,包括: * DDoS攻击:使用DSL4(Nitol)恶意代码,对应的C2 luoxkexp.com * 挖矿:挖矿使用的钱包地址是 48WDQHCe5aRDeHv1DkkdwQiPRQSqYw2DqEic7MZ47iJVVTeQ1aknD
  • Zhang Zaifeng
    Zhang Zaifeng
5 min read
Botnet

HNS Botnet 最近活动更新

作者:Rootkiter, yegenshen HNS 僵尸网络(Hide and Seek) 是最初由 BitDefender 于今年 1月 报告 的一个IoT僵尸网络。在那份报告中研究人员指出,HNS 会利用CVE-2016-10401、其他漏洞以及Telnet弱口令投入恶意代码,有执行任意指令和盗取用户信息的恶意行为,传播方式类似蠕虫,感染规模在1月23日至1月24期间快速增长到超过32k。并且,HNS内部通过P2P 机制通信,这是我们所知继 hajime之后第二个利用P2P通信的IoT僵尸网络。 P2P类的僵尸网络很难被根除,HNS 僵尸网络也是如此。在过去的几个月中 HNS 僵尸网络一直在持续更新,我们看到其更新活动包括: * 增加了对 AVTECH全部设备(网络摄像头、网络录像设备)、CISCO Linksys路由器、JAWS/1.0 Web服务器、Apache CouchDB、OrientDB的漏洞利用;加上原始报告中提到的2种,目前HNS已经支持7种漏洞利用方式; * 内置的P2P节点地址增加到了171 条;
  • RootKiter
    RootKiter
5 min read
Botnet

威胁快讯:一次僵尸挖矿威胁分析

友商发布了一个威胁分析 报告,我们阐述一下从我们的角度看到的情况。 核心样本 hxxp://120.55.54.65/a7 核心样本是个 Linux Shell 文件,后续动作均由该样本完成,包括: * 挖矿获利 * 确保资源 * 逃避检测 * 横向扩展 挖矿获利 具体的挖矿动作是由下面一组样本完成的: * hxxps://www.aybc.so/ubuntu.tar.gz * hxxps://www.aybc.so/debian.tar.gz * hxxps://www.aybc.so/cent.tar.gz 样本中的挖矿配置如下: * 矿池地址:xmr-asia1.nanopool.org:14433 * 钱包地址:
  • RootKiter
    RootKiter
2 min read
Satori

僵尸永远不死,Satori也拒绝凋零

两天前,2018-06-14,我们注意到 Satori 的作者开始扫描收集 uc-httpd 1.0.0 设备的IP地址列表。这或许是为了针对4月公开的脆弱性 XiongMai uc-httpd 1.0.0 (CVE-2018-10088) 在做准备。这些扫描活动导致了近期在 80 和 8000 端口上的扫描流量大涨。 3小时前,就在我们撰写本篇文章的同时,Satori 作者又发布了一个更新版本。这个更新是个蠕虫,针对 D-Link DSL-2750B 设备,对应的漏洞利用在5月25日刚刚 公开 。 僵尸永远不死 Satori 是 Mirai 僵尸网络的一个变种,我们首次注意到该僵尸网络是 2017-11-22。一周之后,2017-12-05,Satori在12小时内感染了超过26万家用路由器设备,成为臭名昭著的僵尸网络。从那以后我们不再使用“一个mirai僵尸网络变种”称呼它,而是给予了它一个独立的名字 Satori。
  • RootKiter
    RootKiter
8 min read
Botnet

ADB.Miner:恶意代码正在利用开放了ADB 接口的安卓设备挖矿

作者:Hui Wang, RootKiter, twitter/360Netlab 大约24小时前,从 2018-02-03 15:00 开始,一组恶意代码开始蠕虫式快速传播,我们分析了这个安全威胁,一些快速的结果如下: * 传播时间:最早的感染时间可以回溯到 1月31日附近。当前这波蠕虫式感染从 2018-02-03 下午 15:00 附近开始被我们的系统检测到,目前仍在持续增长。 * 感染端口:5555,是安卓设备上 adb 调试接口的工作端口,这个端口正常应该被关闭,但未知原因导致部分设备错误的打开了该端口 * 蠕虫式感染:恶意代码在完成植入后,会继续扫描 5555 adb 端口,完成自身的传播 * 感染设备型号:目前能够确认的设备型号见后,大部分是智能手机,以及智能电视机顶盒 * 感染设备数量:2.75 ~ 5k,主要分布在中国(~40%)和韩国(
  • Hui Wang
    Hui Wang
4 min read