Chinese - 360 Netlab Blog - Network Security Research Lab at 360 (Page 2)

Chinese

A collection of 43 posts

安全威胁预警：Mirai变种Satori正在端口 37215 和 52869 上类似蠕虫式传播

作者：360网络安全研究院 [更新记录] - 2017-12-05 18:56:40 UTC，在我们的博客发出2个小时后，我们观察到C2服务器开始向bot发送停止扫描的指令，与此同时我们看到大网上这两个端口的流量开始下降。 - 文中提到的C2地址 95.211.123.69:7654 ，实际是 95.211.123.69:7645 的笔误。在我们之前的blog中，我们提及有大约10万个来自阿根廷的独立扫描IP正在扫描端口2323和23，并且确定这是一个新的mirai变种。在过去的几天中，扫描行为变得愈发严重，更多的国家出现在我们的ScanMon平台上。仔细分析后我们看到了更多的部分，意识到之前2323/23端口上的扫描还只是巨大拼图的一小部分。就在我们继续深入分析的时候，我们的注意到一个新的情况出现，值得引起安全社区立即注意。下面是对这个情况非常简短和粗糙的说明。大约从今天中午 (2017-12-05 11:57 AM)开始，我们注意到Satori（一个mirai变种）的新版本正在端口37215和52869上非常快速的传播。这个新变种有两个地方与以往mirai有显

安全威胁早期预警：新的mirai僵尸网络变种正在端口23和2323上积极传播

【2017-11-28 更新】 * 原文中提到的两个C2均已被安全社区sinkhole。 * 原文中的 admin/CentryL1nk 是 admin/CenturyL1nk 的笔误。大约60个小时以前，从2017-11-22 11:00开始，360网络安全研究院注意到在端口2323和23上的扫描流量有一个暴涨现象。其中主要扫描者，大约10万个扫描IP地址位于阿根廷，同时360网络安全研究院也注意到大约有5千个IP地址来自国内。分析以后，目前比较确定这是一个新的mirai变种。根因分析在我们蜜罐中，最近有两个新的用户名密码被频繁使用到，分别是 admin/CentryL1nk 和 admin/QwestM0dem 。值得一提，admin/CentryL1nk 这对用户名密码是针对ZyXEL PK5001Z 调制解调器的，在一份上月底的利用中被批露。上述两个用户名密码对，被滥用的初始时间在2017-11-22 11:00附近，在2017-11-23 日间达到顶峰。这个时间曲线与我们在Scanmon上观察到2323/23端口的扫描曲线比较一致。另外

CLDAP反射放大攻击超过SSDP和CharGen成为第三大反射型DDoS攻击

作者：Xu Yang，kenshin 利用DDoSMon.net，我们实时并持续的监控全球DDoS攻击相关事件。长期以来，DDoS攻击的反射放大细分类型中，DNS、NTP、CharGen、SSDP是最经常被滥用的服务，过去一年中的排位依次是第1、2、3、4位。近期我们注意到，基于CLDAP的反射放大攻击（以下称为CLDAP攻击）已经超过SSDP和CharGEN成为第三大反射型DDoS攻击。CLDAP攻击在过去365天和90天在反射放大类DDoS攻击中占据比例，对比如下图：数据来源：DDoSMon。网站上Insight页面的内容可以覆盖本次blog中的大部分数据。 CLDAP攻击首次出现是在去年10月底，到现在恰好一年。本篇blog中，我们对CLDAP攻击上升情况做一个回顾： * 在过去的一年中，我们累积观察到304,146次CLDAP反射放大攻击，涉及215,229 个独立IP，或者说受害者。CLDAP早已经成为现实存在的DDoS攻击威胁。 * 值得注意的是，最近两三个月以来，CLDAP攻击发展进入新的阶段。在我们的监测范围内，过去三个月内CLDA

IoT_reaper 情况更新

在周五晚上披露了IoT_reaper之后，我们收到了来自安全社区和各方很多问题。这里给出一个快速的更新，以澄清各方可能的疑问。 IoT_reaper样本投递历史情况我们通过蜜罐观察到的 IoT_reaper 样本历史投递情况如下：可以看出，IoT_reaper 最主要传播的恶意代码位于下面这个URL上： * 下载地址：hxxp://162.211.183.192/sa * 投递者：119.82.26.157 * 起止时间：10-04～10-17 * 样本md5：7 个,详细见文末IoC 这个URL上的样本之间内聚关系比较强，我们称为S簇。后来进一步的分析，认为S簇还包括其他一些样本；而在S簇之外，还有一个LUA簇，以及其他更小一些的未知簇。 S簇的样本构成我们认为S簇包含下面这些URL上的样本： * hxxp://162.211.183.192/sa * hxxp:

IoT_reaper : 一个正在快速扩张的新 IoT 僵尸网络

从2017-09-13 01:02:13开始，我们捕获到一个新的针对iot设备的恶意样本出现，在随后的这个一个多月时间里，这个新的IoT僵尸网络家族不断持续更新，开始在互联网上快速大规模的组建僵尸网络军团。该僵尸网络脱胎于mirai，但是在诸多方面比mirai更进一步，特别是开始放弃弱口令猜测，完全转向利用IoT设备漏洞收割，成为IoT僵尸网络里的新兴玩家。我们将之命名为IoT_reaper。 IoT_reaper规模较大且正在积极扩张，例如最近的数据昨日(10月19日)在我们观察到的多个C2中，其中一个C2上活跃IP地址去重后已经有10k个，此外还有更多的易感设备信息已经被提交到后台，由一个自动的loader持续植入恶意代码、扩大僵尸网络规模。所幸目前该僵尸网络还尚未发出植入恶意代码以外的其他攻击指令，这反映出该僵尸网络仍然处在早期扩张阶段。但是作者正在积极的修改代码，这值得我们警惕。我们公开IoT_reaper的相关信息，希望安全社区、设备供应商、政府能够采取共同行动，联合遏制该僵尸网络的扩张。源于mirai，高于mirai 该僵尸网络部分借用了m

Is Hajime botnet dead?

概述我们于近期决定公开一部分Hajime相关的研究结果及数据，供社区成员查阅。本文的核心内容包含以下几点： * Hajime跟踪主页上线。结合Hajime的通讯特点（DHT+uTP），我们实现了对Hajime各Bot节点的长期跟踪，同时还在主页绘制了日活及地域分布情况。 * 通过逆向分析，我们代码级重现了密钥交换过程，在该工作的帮助下，可以随时获取到Hajime网络中的最新模块文件。 * 跟踪过程中，我们发现一个包含x64配置项的config文件，该发现预示着，原作者有意将PC平台作为下一个感染目标（这里也存在原作者密钥泄露的可能性）。 Hajime背景与 MIRAI 的张扬不同，Hajime是一个低调神秘的Botnet，在诞生后的这一年中并没有给公众传递太多的恐慌。MIRAI在明，Hajime在暗，两者相得益彰。在MIRAI源码公开期间，已经有友商详细阐述过其工作机制。 Hajime的核心特点在于：它是一个P2P botnet，安全人员无法通过黑名单的方式直接堵死 Hajime 的指令传输渠道，达到遏制的目的。所以，其一旦广泛传播开便极难彻底清除。

从DNS和sinkhole视角看WannaCry蠕虫

编注：本文来源自《中国计算机学会通讯》2017年第7期《WannaCry勒索蠕虫专刊》，作者是360网络安全研究院李丰沛。在本博客发布时，文章的字句和排版略有调整，以适应本技术博客。我们将该文章发布在本技术博客的动机之一，是因为这篇文章中对WannaCry的感染情况做了一个定量分析，本技术博客的后续其他分析文章可以参考做一个基准。域名系统(Domain Name System, DNS)数据作为全网流量数据的一种采样方式，可以在大网尺度对域名做有效的度量和分析。我们利用DNS数据，在过去数年里对多个安全事件，包括Mirai等僵尸网络、DGA等恶意域名，以及黑色产业链条进行跟踪和分析。对于最近爆发的WannaCry蠕虫病毒，利用DNS数据进行分析，也是很有意义的。众所周知，WannaCry蠕虫病毒有一个开关域名，即www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com，该域名相关详细内容见《WannaCry勒索蠕虫专刊》其他文章。在蠕虫感染过程中，有效载荷通过445端口上的 MS17-010漏洞投递并成功启动后，会尝试访问特定域名的

比较“81端口的botnet”和 MIRAI 之间的联系

概述从 "81 端口的异常流量"中，我们发现了一个新的僵尸网络家族，它和 MRIAI 存在一定的联系，本文将介绍一些对比结果，同时介绍一下我们从这个 botnet 中发现的一种依赖SSDP协议的感染机制。 ****注：*如无特殊声明，MIRAI的分析将以github源码为基础；新botnet 将以其中的9584B6AEC418A2AF4EFAC24867A8C7EC样本的逆向结果为基础。相同点相同的扫描方案众所周知，MIRAI在传播过程中用到了SYN端口探测的技巧，来提高传播效率。新Botnet 也使用了该技巧并将其用在了81端口扫描中。随着研究的深入我们发现它和MIRAI有着相同的扫描规则。在 MIRAI 中，被扫描IP是通过一系列随机函数生成的，但他有个黑名单机制，用于跳过一些IP地址范围（代码来自scanner.c），相关截图如下：而在我们发现的新Botnet 中（截图选自sub_A7C4函数），也有完全相同的黑名单机制（上下两图红框中是三行比对样例，实际上整个 while 循环体都是完全一致的）。部分util函数同

新威胁报告：一个新IoT僵尸网络正在 HTTP 81上大范围传播

概述 360 网络安全研究院近日监测到一个新的僵尸网络正在大范围扫描整个互联网。考虑到该僵尸网络的以下因素，我们决定向安全社区公开我们的发现成果： 1. 规模较大，我们目前可以看到～50k 日活IP 2. 有Simple UDP DDoS 攻击记录，可以认定是恶意代码 3. 较新，目前尚有较多安全厂商未能识别该恶意代码 ( 7/55 virustotal ) 4. 与mirai僵尸网络相比，借鉴了其端口嗅探手法和部分代码，但是在传播、C2通信协议、攻击向量等关键方面完全不同于mirai，是新的恶意代码家族而不应视为mirai的变种我们梳理了该僵尸网络的发现过程、传播手法、行为特征，简略分析了该僵尸网络的攻击行为，并按照时间线组织本blog的各小节如下： 1. GoAhead及多家摄像头的 RCE 漏洞 2. 攻击者将漏洞武器化 3. 我们注意到了来自攻击者的扫描 4. 从扫描到样本 5. C2 历史变化回溯 6. 僵尸网络规模判定 7.

我们也来聊聊IDN

Introduction### 文中首先对IDN的历史和研究进行了回顾，并从近日有关IDN的博客入手，利用DNS派的流量数据，使用轻量级的方法，对目前网络中的“形近异义”的IDN域名进行了测量研究，并对IDN域名目前在网络中的用途进行分析。研究发现，1）Alexa Top10K 域名中至少有83个域名的形近异义IDN域名在活跃，即相关的知名网站受到这种潜在的钓鱼攻击影响；2）我们发现了一起真实的利用IDN域名对Facebook进行钓鱼攻击的案例（www.xn--facebok-i01c.com）。网络安全研究院会持续跟进这项测量研究，希望借此提醒有关厂商，注意提高与其相关的IDN域名品牌保护意识。 Background### 1. IDN 国际域名（Internationalized domain name, IDN）[1]，最早在1996年由Martin Durst提出并在1998年由Tan Juay kwang等人进行实现，是指在域名中包含至少一个特殊语言字母的域名，特殊语言包括中文、法文、拉丁文等。在DNS系统工作中，这种域名会被编码成ASCII字符串，并

RSA大会 '2017上的ScanMon

RSA大会 '2017 即将在2月13日至17日期间在美国旧金山Moscone中心举办。在今年的这次大会上，我们向全世界安全社区推出我们的 ScanMon 系统。网络扫描是互联网上一种流行的威胁，经常被攻击者用来发现网络空间里存活的主机或者服务，并随后可能被用来定位潜在的受害者。扫描行为通常发生在恶意攻击行为的早期，所以如果能及早发现扫描行为会对抵御对应的攻击有显著改善。 360网络安全研究院的 ScanMon 系统提供全球范围内实时和历史扫描行为的监控和分析。ScanMon 通过分析大量多样的网络数据，包括但不限于网络流、蜜罐等等，来精确有效的检测扫描行为。对已检出的扫描事件，ScanMon 会展示扫描行为的关键信息和统计数据，例如扫描源IP、受害者端口、扫描数量、分布、扫描源之间的伴生关系，等等。基于这些信息，使用者可以第一时间感知网络扫描行为，并方便有效的识别对应的攻击者。例如，近期360网络安全研究院在针对 mirai 僵尸网络出现、发展、新变种的持续跟踪中，就大量借助了 ScanMon 的能力。您可以在这里观看在线视频（记得调到1080P），也可以试用我们的在

以大站的名义：专注地下产业的网络基础设施

【历史更新记录】 * 2017-01-10 原始版本 * 2017-01-16 补充了对服务器IP地址同源性的分析，此处分析指向性较弱，仅为完备性考虑概述在奇虎网络安全研究院(netlab@360.cn)，我们建立了一个基于DNS的异常流量监测系统，每天会检出若干异常流量以及对应的域名/IP。通常这些被检出的域名/IP都属于地下产业链条。但是，我们注意到一些代表知名公司的字符串也出现在这些被检出的域名中，包括360, ali, baidu, cloudflare, dnspod, google和microsoft。通过分析，我们认为这是有人冒用大站名义，为赌博、色情、私服等地下产业提供网络基础设施服务。这一基础设施结构错综复杂，运营时间长、支撑能力强、实际支撑的黑色灰色站点数以万计，已经构成了一个成熟的地下产业生态系统。域名和所仿冒的大站品牌我们检测到的这类域名如下表。如果只看域名，这些域名看起来非常象是大站提供的CDN服务。但分析可以看出，这些域名实际是某种基础设施，为赌博、色情、私服等地下产业服务。基于上述域名的错

Mirai 变种中的DGA

更新历史 2016-12-09 首次发布 2016-12-12 更新图0，修正了我们DGA实现中一处TLD选择的错误概要两个星期前，我们发现2个新的感染载体（也即TCP端口7547和5555变种）被用来传播MIRAI恶意软件。 <A Few Observations of The New Mirai Variant on Port 7547> 我的同事Ye Genshen快速设置了一些蜜罐，并且很快取得收获：11月28日一天就捕获了11个样本。迄今为止，我们的蜜罐已从6个托管服务器捕获了53个独立样本。在分析其中一个新样本时，我的同事Qu Wenji发现一些类似DGA的代码，并猜测变种中包含有DGA功能，这个猜测很快就从我们的沙箱数据中得到验证。详细的逆向工作显示，在通过TCP端口7547和5555分发的MIRAI样本中确实存在DGA特征。在本博客中，我将介绍我们的发现。简单来说，我们找到的DGA的属性总结如下： 1. 使用3个顶级域名：online/tech/support； 2. L2域名固定长度12字符，每个字符从“a”

德国电信断网：mirai僵尸网络的新变种和旧主控

【更新】 1. 2016-11-29 18:40:00 初始版本 2. 2016-11-29 20:10:00 增加了对德国电信断网事件相关的描述德国电信断网事件 2016-11-28 德国电信在2016年11月28日前后遭遇一次大范围的网络故障。在这次故障中，2千万固定网络用户中的大约90万个路由器发生故障（约4.5%），并由此导致大面积网络访问受限。很多媒体给出了网络受限的示意图，如下。德国电信进一步确认了问题是由于路由设备的维护界面被暴露在互联网上、并且互联网上正在发生针对性的攻击而导致。德国电信连夜与设备供应商生成了新的升级包，并且要求客户如果怀疑受到影响就断电重启路由器，之后利用自动/手动的升级过程来减轻问题显然，德国电信还采取了一系列的过滤措施来保证升级过程不受攻击影响。德国电信对该事件给出了较为详细的描述。 https://www.telekom.com/en/media/media-information/archive/information-on-current-problems-444862 按照360网络安全研究院对这次事件

关于 mirai 僵尸网络控制主机的数据分析

之前的文章中已经提及，我们的僵尸网络跟踪系统对mirai僵尸网络控制主机做了持续跟踪，并且在文章的结尾处，依据跟踪结果排除了僵尸网络操作者位于北京时区的可能。在这篇文章中，我们将进一步分析mirai僵尸网络的控制主机的行为和特征。之前文章链接如下： http://blog.netlab.360.com/a-dyn-twitter-ddos-event-report-and-mirai-botnet-review/ 目前为止，我们与安全社区合作共享了两位数域名上的超过50个mirai僵尸网络主控。但本文后面的分析仅针对360网络安全研究院独立发现的主控，即13个域名上的16个主控主机名，其中8个在持续对外发起攻击。在时间线上，我们可以看到各主控随时间变化的注册、在DNS中首次出现、持续保持IP地址变化、首次被监控到发起攻击等事件。地理分布方面，主控的IP地理分布主要在欧洲和美国，尤以欧洲为甚，亚洲很少，这从侧面增强了之前“mirai控制者不在北京时区”的判断。域名注册信息方面，绝大多数主控在域名注册时在TLD、注册局、注册邮箱方面设置了多重障碍阻滞安全社区的进一步分析

关于 dyn / twitter 受攻击情况的说明和 mirai 僵尸网络的回顾

【更新记录】 2016-10-23 初始版本 2016-10-27 获得了少量攻击现场数据，分析结果与之前观点吻合一致。北京时间2016年10月21 日晚间，北美地区大量反馈若干重要的互联网网站无法正常访问。涉及到的网站包括 twitter， paypal，github等等，由于这些网站与北美地区日常生活强烈相关，这次网络故障被北美主要媒体广泛报道，也引起了安全社区的强烈关注。我们与国外安全社区一起协同，对本次网络事件提供数据、加以分析并做了溯源跟踪。目前我们已经能够确定本次事件是一次DDoS网络攻击事件，攻击目标主要是Dynamic Network Services（dyn）公司，twitter、paypal、github等网站作为dyn公司的客户，在本次攻击中不幸被波及。在攻击持续溯源的过程中，虽然目前Flashpoint公司已经确认最近广泛受关注的mirai僵尸网络参与了本次网络攻击，但是我们倾向认为虽然mirai贡献了本次攻击的部分攻击流量，但并非所有的攻击流量都来自原始泄漏版本mirai。具体来源不明，可能是源自我们数据地缘性导致的分析误差，也可能是来自

DNS中的“无效Rdata”

所谓Rdata是指在DNS记录中与类型相关的数据部分。比如对于DNS的A记录中的IPv4地址或者MX记录中的主机名及其优先级。在分析DNS的数据过程中，常常能见到各种不同种类的怪异的Rdata。我们把不能有效反应域名和rdata的对应关系的数据称为“无效Rdata”。对这些无效Rdata进行分析是理解DNS数据的一个有趣的切入点。另外，结合最近火爆的威胁情报，发现很多的数据源中，都包含了这些“无效的Rdata”，它们降低了这些威胁情报的质量。因此对这些无效rdata的过滤是提高威胁情报质量的一个重要手段。尽管还有很多其他类型的无效的rdata，但是相比IP地址来说，其他种类的数据影响较小。因此本文主要讨论IP地址。 DNS Sinkhole的IP地址 DNS Sinkhole是安全厂商为了研究恶意软件的行为，将恶意软件的网络流量进行接管的一种方式，具体参见wiki的定义。从PassiveDNS中的数据来看，sinkhole的域名主要集中在使用DGA技术产生随机域名的恶意软件上。比如上一篇blog中提到的conficker，以及大名鼎鼎的GOZ等。现在来

Conficker域名被滥用情况分析

根据对conficker域名的跟踪，我们发现conficker的域名存在明显的滥用。主要表现为浏览器访问conficker域名后，会跳转到广告页面（既有正常业务，也有赌博/色情等灰色业务），有时候还会存在一些垃圾软件（比如虚假的杀毒软件）的推广等。由于conficker的DGA域名的巨大数量，我们希望了解产生这种状况的原因以及其现在的规模。 Conficker域名现状及被滥用状况 Conficker简介 Conficker是出现于2008年11月，曾感染了数百万台电脑。Conficker有一个独特的特性是它使用了DGA技术。利用随机生成的域名来防止网络设备的封堵。自此以后DGA技术也开始逐渐流行起来。关于conficker和DGA的细节，请参考[1] [2]。校验数据集及passvieDNS中的命中情况我们选取了2010-01-01到2016-09-15这段时间内，由conficker.a 和conficker.b生成的全部的DGA域名作为数据全集，共1225000条域名。检查这些域名在passiveDNS中的命中情况。排除NXDOMAIN之外