Botnet

A collection of 115 posts
Botnet

TheMoon : 一个僵尸网络的老皇历和新变种

TheMoon 是一个恶意代码家族的代号。早在2014年2月,该恶意代码家族就引起了安全研究人员的普遍关注。在当时,TheMoon是一个针对 Linksys 路由器的、有类似蠕虫式传播行为的僵尸网络。由于其感染传播能力较强,安全社区里的讨论较多。 2014~2017年期间,又陆续有各安全厂商对TheMoon恶意代码家族做了分析。报告反应了当时 TheMoon 家族的演化情况。 从2017年开始,我们也对 TheMoon 家族做了持续跟踪,并注意到以下的新发现: * 感染阶段: TheMoon 集成了最近的一组漏洞利用代码,提高其感染能力; * 运营阶段: TheMoon 的代理网络,由正向代理改为反向代理,避免被安全研究人员探测度量; * 样本特征: TheMoon 开始使用压缩外壳,提高安全研究人员分析的难度 下文仅仅是我们对 TheMoon 恶意代码家族监控结果的概括描述,详细的技术分析文档可见 TheMoon-botnet.pdf 2017年以前的 TheMoon 2014-02-13 ,这是我们能查到的 TheMoon 相关最早记录。当时,SANS
  • RootKiter
    RootKiter
8 min read
Botnet

MyKings: 一个大规模多重僵尸网络

【更新记录】 2018-01-24 原始文档首次公开,原先基于新浪blog的所有上联通道均已切断 2018-01-29 12:00 MyKings的上联通道开始使用新的blog url http://test886.hatenablog.com/entry/2018/01/26/002449,我们通过 https://twitter.com/360Netlab 发布了这一消息 2018-01-29 15:00 我们注意到上述 BLOG URL 已经被封 2018-01-29 05:00 https://twitter.com/ninoseki 告知,上述被封动作是 hantena 博客安全团队处理的。 以下是原始文章 作者 netlab.360.com MyKings 是一个由多个子僵尸网络构成的多重僵尸网络,2017
  • JiaYu
17 min read
Botnet

偷盗的艺术: Satori 变种正在通过替换钱包地址盗取 ETH 数字代币

在我们2017年12月5日发布的关于Satori的 文章 中,我们提到Satori僵尸网络正在以前所未有的速度快速传播。自从我们的文章发布以后,安全社区、ISP、供应链厂商共同协作,Satori 的控制端服务器被 sinkhole、ISP和供应链厂商采取了行动,Satori的蔓延趋势得到了暂时遏制,但是Satori的威胁依然存在。 从 2018-01-08 10:42:06 GMT+8 开始,我们检测到 Satori 的后继变种正在端口37215和52869上重新建立整个僵尸网络。值得注意的是,新变种开始渗透互联网上现存其他Claymore Miner挖矿设备,通过攻击其3333 管理端口,替换钱包地址,并最终攫取受害挖矿设备的算力和对应的 ETH 代币。我们将这个变种命名为 Satori.Coin.Robber。 这是我们第一次见到僵尸网络替换其他挖矿设备的钱包。这给对抗恶意代码带来了一个新问题:即使安全社区后续接管了 Satori.Coin.Robber 的上联控制服务器,那些已经被篡改了钱包地址的挖矿设备,仍将持续为其贡献算力和 ETH 代币。 到
  • RootKiter
    RootKiter
10 min read
IoT Botnet

IoT_reaper 情况更新

在周五晚上披露了IoT_reaper之后,我们收到了来自安全社区和各方很多问题。这里给出一个快速的更新,以澄清各方可能的疑问。 IoT_reaper样本投递历史情况 我们通过蜜罐观察到的 IoT_reaper 样本历史投递情况如下: 可以看出,IoT_reaper 最主要传播的恶意代码位于下面这个URL上: * 下载地址:hxxp://162.211.183.192/sa * 投递者:119.82.26.157 * 起止时间:10-04~10-17 * 样本md5:7 个,详细见文末IoC 这个URL上的样本之间内聚关系比较强,我们称为S簇。 后来进一步的分析,认为S簇还包括其他一些样本;而在S簇之外,还有一个LUA簇,以及其他更小一些的未知簇。 S簇的样本构成 我们认为S簇包含下面这些URL上的样本: * hxxp://162.211.183.192/sa * hxxp:
  • Genshen Ye
    Genshen Ye
6 min read
IoT Botnet

IoT_reaper : 一个正在快速扩张的新 IoT 僵尸网络

从2017-09-13 01:02:13开始,我们捕获到一个新的针对iot设备的恶意样本出现,在随后的这个一个多月时间里,这个新的IoT僵尸网络家族不断持续更新,开始在互联网上快速大规模的组建僵尸网络军团。 该僵尸网络脱胎于mirai,但是在诸多方面比mirai更进一步,特别是开始放弃弱口令猜测,完全转向利用IoT设备漏洞收割,成为IoT僵尸网络里的新兴玩家。我们将之命名为IoT_reaper。 IoT_reaper规模较大且正在积极扩张,例如最近的数据昨日(10月19日)在我们观察到的多个C2中,其中一个C2上活跃IP地址去重后已经有10k个,此外还有更多的易感设备信息已经被提交到后台,由一个自动的loader持续植入恶意代码、扩大僵尸网络规模。 所幸目前该僵尸网络还尚未发出植入恶意代码以外的其他攻击指令,这反映出该僵尸网络仍然处在早期扩张阶段。但是作者正在积极的修改代码,这值得我们警惕。 我们公开IoT_reaper的相关信息,希望安全社区、设备供应商、政府能够采取共同行动,联合遏制该僵尸网络的扩张。 源于mirai,高于mirai 该僵尸网络部分借用了m
  • Genshen Ye
    Genshen Ye
6 min read
Mirai

Mirai 变种中的DGA

更新历史 2016-12-09 首次发布 2016-12-12 更新图0,修正了我们DGA实现中一处TLD选择的错误 概要 两个星期前,我们发现2个新的感染载体(也即TCP端口7547和5555变种)被用来传播MIRAI恶意软件。 <A Few Observations of The New Mirai Variant on Port 7547> 我的同事Ye Genshen快速设置了一些蜜罐,并且很快取得收获:11月28日一天就捕获了11个样本。 迄今为止,我们的蜜罐已从6个托管服务器捕获了53个独立样本。 在分析其中一个新样本时,我的同事Qu Wenji发现一些类似DGA的代码,并猜测变种中包含有DGA功能,这个猜测很快就从我们的沙箱数据中得到验证。详细的逆向工作显示,在通过TCP端口7547和5555分发的MIRAI样本中确实存在DGA特征。在本博客中,我将介绍我们的发现。简单来说,我们找到的DGA的属性总结如下: 1. 使用3个顶级域名:online/tech/support; 2. L2域名固定长度12字符,每个字符从“a”
  • LIU Ya
    LIU Ya
5 min read
Botnet

德国电信断网:mirai僵尸网络的新变种和旧主控

【更新】 1. 2016-11-29 18:40:00 初始版本 2. 2016-11-29 20:10:00 增加了对德国电信断网事件相关的描述 德国电信断网事件 2016-11-28 德国电信在2016年11月28日前后遭遇一次大范围的网络故障。在这次故障中,2千万固定网络用户中的大约90万个路由器发生故障(约4.5%),并由此导致大面积网络访问受限。很多媒体给出了网络受限的示意图,如下。 德国电信进一步确认了问题是由于路由设备的维护界面被暴露在互联网上、并且互联网上正在发生针对性的攻击而导致。德国电信连夜与设备供应商生成了新的升级包,并且要求客户如果怀疑受到影响就断电重启路由器,之后利用自动/手动的升级过程来减轻问题显然,德国电信还采取了一系列的过滤措施来保证升级过程不受攻击影响。德国电信对该事件给出了较为详细的描述。 https://www.telekom.com/en/media/media-information/archive/information-on-current-problems-444862 按照360网络安全研究院对这次事件
  • Li Fengpei
    Li Fengpei
15 min read