Botnet

新威胁:闷声发大财的Fodcha僵尸网络

本报告由国家互联网应急中心(CNCERT)与三六零数字安全科技集团有限公司共同发布。 概述 近期,CNCERT和三六零数字安全科技集团有限公司共同监测发现一个新的且在互联网上快速传播的DDoS僵尸网络,通过跟踪监测发现其每日上线境内肉鸡数(以IP数计算)已超过1万、且每日会针对超过100个攻击目标发起攻击,给网络空间带来较大威胁。由于该僵尸网络最初使用的C2域名folded.in,以及使用chacha算法来加密网络流量,我们将其命名为Fodcha。 僵尸网络规模 通过监测分析发现,2022年3月29日至4月10日Fodcha僵尸网络日上线境内肉鸡数最高达到1.5万台,累计感染肉鸡数达到6.2万。每日境内上线肉鸡数情况如下。 Netlab按: 根据国外合作伙伴的数据,我们估算该家族全球日活肉鸡数量应该在5.6w+ Fodcha僵尸网络位于境内肉鸡按省份统计,排名前三位的分别为山东省(12.9%)、辽宁省(11.8%

  • Hui Wang
    Hui Wang
  • Alex.Turing
    Alex.Turing
  • YANG XU
    YANG XU
9 min read
Botnet

我们近期看到的针对乌克兰和俄罗斯的DDoS攻击细节

在360Netlab(netlab.360.com),我们持续的通过我们的 BotMon 系统跟踪全球范围内的僵尸网络。特别的,对于DDoS 相关的僵尸网络,我们会进一步跟踪其内部指令,从而得以了解攻击的细节,包括攻击者是谁、受害者是谁、在什么时间、具体使用什么攻击方式。 最近俄乌局势紧张,双方的多个政府、军队和金融机构都遭到了DDoS攻击,我们也不断接收到安全社区的询问,咨询对于最近乌克兰和俄罗斯相关网站 (.ua .ru下属域名)遭受DDoS攻击的具体情况,因此我们特意整理相关数据供安全社区参考。 针对乌克兰的DDoS攻击 下图是我们看到的针对域名以.gov.ua结尾的政府网站的攻击趋势。 可以看到攻击最早始于2月12号,攻击数量和强度都在持续变大,在2月16日达到顶峰,攻击类型则混合了NTP放大、

  • 360Netlab
12 min read
DDoS

EwDoor僵尸网络,正在攻击美国AT&T用户

背景介绍 2021年10月27日,我们的BotMon系统发现有攻击者正通过CVE-2017-6079漏洞攻击Edgewater Networks设备,其payload里有比较罕见的mount文件系统指令,这引起了我们的兴趣,经过分析,我们确认这是一个全新的僵尸网络家族,基于其针对Edgewater产商、并且有Backdoor的功能,我们将它命名为EwDoor。 最初捕获的EwDoor使用了常见的硬编码C2方法,同时采用了冗余机制,单个样本的C2多达14个。Bot运行后会依次向列表中的C2发起网络请求直到成功建立C2会话。这些C2中多数为域名形式,有趣的是它们多数还未来得及注册,因此我们抢注了第二个域名iunno.se以获取Bot的请求。但一开始连接到我们域名的Bot非常少,因为大多数Bot都成功和第一个C2(185.10.68.20)建立连接,这让我们有些许"沮丧"。 转机发生在2021年11月8日,当天7点到10点EwDoor的第一个C2185.10.

  • Alex.Turing
    Alex.Turing
  • Hui Wang
    Hui Wang
18 min read
DDoS

僵尸网络Abcbot的进化之路

背景 业务上云、安全上云是近年来业界的发展趋势之一。360Netlab 从自身擅长的技术领域出发,也在持续关注云上安全事件和趋势。下面就是我们近期观察到的一起,被感染设备IP来自多个云供应商平台的安全事件。 2021年7月14日,360BotMon系统发现一个未知的ELF文件(a14d0188e2646d236173b230c59037c7)产生了大量扫描流量,经过分析,我们确定这是一个Go语言实现的Scanner,基于其源码路径中"abc-hello"字串,我们内部将它命名为Abcbot。 Abcbot在当时的时间节点上功能比较简单,可以看成是一个攻击Linux系统的扫描器,通过弱口令&Nday漏洞实现蠕虫式传播。一个有意思的事情是,Abcbot的源码路径中有“dga.go”字串,但是在样本中并没有发现相关的DGA实现,我们推测其作者会在后续的版本中补上这个功能,这让我们对这个家族多了几分留意。

  • Alex.Turing
    Alex.Turing
  • Hui Wang
    Hui Wang
13 min read
0-day

Mirai_ptea_Rimasuta变种正在利用RUIJIE路由器在野0DAY漏洞传播

版权 版权声明:本文为Netlab原创,依据 CC BY-SA 4.0 许可证进行授权,转载请附上出处链接及本声明。 概述 2021年7月我们向社区公布了一个通过KGUARD DVR未公开漏洞传播的僵尸网络Mirai_ptea,一开始我们认为这是一个生命短暂的僵尸网络,不久就会消失不见,因此只给了它一个通用的名字。但很显然我们小看了这个家族背后的团伙,事实上该家族一直非常活跃,最近又观察到该家族正在利用RUIJIE NBR700系列路由器的在野0day漏洞传播。 比较有意思的是,该家族的作者曾经在某次更新的样本中加入了这么一段话吐槽我们的mirai_ptea命名: -_- you guys didnt pick up on the

  • Hui Wang
    Hui Wang
  • Alex.Turing
    Alex.Turing
  • YANG XU
    YANG XU
14 min read
Botnet

Mozi已死,余毒犹存

背景 360NETLAB于2019年12月首次披露了Mozi僵尸网络,到现在已有将近2年时间,在这段时间中,我们见证了它从一个小规模僵尸网络发展为巅峰时占据了极高比例IOT流量巨无霸的过程。 现在Mozi的作者已经被执法机关处置,其中我们也全程提供了技术协助,因此我们认为后续在相当长的一段时间内它都不会继续更新。但我们知道,Mozi采用了P2P网络结构,而P2P网络的一大“优点”是健壮性好, 即使部分节点瘫痪,整个网络仍然能工作。所以即使Mozi作者不再发布新的更新,它仍然会存活一段时间,残余的节点仍然会去感染其它存在漏洞的设备,所以我们现在仍然能看到Mozi在传播,正可谓“百足之虫,死而不僵”。 许多安全厂商都对Mozi进行了跟踪分析,但从我们的角度而言,或多或少有些遗漏,甚至有错误。今天我们将对Mozi的看法总结在下面这篇文章里,以补充安全社区的分析;同时也为我们对Mozi僵尸网络的持续关注画上一个句号。 本文将回答以下问题: 1:Mozi除Bot节点外还有别的功能节点吗? 2:

  • Alex.Turing
    Alex.Turing
  • Hui Wang
    Hui Wang
  • Genshen Ye
    Genshen Ye
14 min read
New Threat

新威胁:ZHtrap僵尸网络分析报告

版权 版权声明:本文为Netlab原创,依据 CC BY-SA 4.0 许可证进行授权,转载请附上出处链接及本声明。 概述 从2021年2月28日起,360网络安全研究院的BotMon系统检测到IP(107.189.30.190)在持续传播一批未知ELF样本。经分析,我们确认这些样本隶属于一个新的botnet家族,结合其运行特点,我们将其命名为ZHtrap,本文对其做一分析,文章要点如下: ZHtrap的传播使用了4个Nday漏洞,主要功能依然是DDoS和扫描,同时集成了一些后门功能。 Zhtrap能将被感染设备蜜罐化,目的是提高扫描效率。 Zhtrap感染受害主机后会禁止运行新的命令,以此实现彻底控制和独占该设备。 在C2通信上,ZHtrap借鉴了套娃,

  • Alex.Turing
    Alex.Turing
  • liuyang
  • YANG XU
    YANG XU
15 min read
Necro

Gafgtyt_tor,Necro作者再次升级“武器库”

版权 版权声明: 本文为Netlab原创,依据CC BY-SA 4.0 许可证进行授权,转载请附上出处链接及本声明。 概述 自2021年2月15号起,360Netlab的BotMon系统持续检测到Gafgyt家族的一个新变种,它使用Tor进行C2通信以隐藏真实C2,并对样本中的敏感字符串做了加密处理。这是我们首次发现使用Tor机制的Gafgyt变种,所以将该变种命名为Gafgyt_tor。进一步分析发现该家族与我们1月份公开的Necro家族有紧密联系,背后为同一伙人,即所谓的keksec团伙[1] [2]。检索历史样本发现该团伙长期运营Linux IoT botnet,除了Necro和Gafgyt_tor,他们还曾运营过Tsunami和其它Gafgyt变种botnet。本文将介绍Gafgyt_tor,并对该团伙近期运营的其它botnet做一梳理。 本文关键点如下: Gafgyt_

  • jinye
    jinye
15 min read
DDoS

新威胁:能云端化配置C2的套娃(Matryosh)僵尸网络正在传播

版权 版权声明:本文为Netlab原创,依据 CC BY-SA 4.0 许可证进行授权,转载请附上出处链接及本声明。 背景 2021年1月25日,360网络安全研究院的BotMon系统将一个可疑的ELF文件标注成Mirai,但网络流量却不符合Mirai的特征。这个异常引起了我们的注意,经分析,我们确定这是一个复用了Mirai框架,通过ADB接口传播,针对安卓类设备,主要目的为DDoS攻击的新型僵尸网络。它重新设计了加密算法,通过DNS TXT的方式从远程主机获取TOR C2以及和C2通信所必须的TOR代理。 这个僵尸网络实现的加密算法以及获取C2的过程都是一层层嵌套,像俄罗斯套娃一样,基于这个原因,我们将它命名为Matryosh。 每天都有脚本小子拿着Mirai的源码进行魔改,想着从DDoS黑产赚上一笔。Matryosh会是这样的作品吗?随着分析的深入,更多细节浮出水面,

  • Alex.Turing
    Alex.Turing
  • Hui Wang
    Hui Wang
  • liuyang
10 min read
DGA

Necro在频繁升级,新版本开始使用PyInstaller和DGA

概述 Necro是一个经典的Python编写的botnet家族,最早发现于2015年,早期针对Windows系统,常被报为Python.IRCBot,作者自己则称之为N3Cr0m0rPh(Necromorph)。自2021年1月1号起,360Netlab的BotMon系统持续检测到该家族的新变种,先后有3个版本的样本被检测到,它们均针对Linux系统,并且最新的版本使用了DGA技术来生成C2域名对抗检测。本文将对最近发现的Necro botnets做一分析。 本文的关键点如下: 1,Necro最新版的感染规模在万级,并且处于上升趋势。 2,在传播方式上,Necro支持多种方式,并且持续集成新公开的1-day漏洞,攻击能力较强。 3,最新版Necro使用了DGA技术生成C2域名,Python脚本也经过重度混淆以对抗静态分析。 4,目前传播的不同版本Necro botnet背后为同一伙人,并且主要针对Linux设备。 5,最新的2个版本为了确保能在没有Python2的受害机器上执行,

  • jinye
    jinye
16 min read
0-day

Moobot 在野0day利用之UNIXCCTV DVR命令注入

本报告由国家互联网应急中心(CNCERT)与北京奇虎科技有限公司(360)共同发布 概述 Moobot是一个基于Mirai开发的僵尸网络,自从其出现就一直很活跃,并且拥有0day漏洞利用的能力。我们有多篇和该botnet相关的文章,感兴趣的读者可以去阅读[1][2][3]。本文主要介绍CNCERT和360公司共同发现的Moobot针对UNIXCCTV DVR/NVR设备的0day利用。关于该漏洞的详细细节我们通知了厂家,并且确认当前厂家已经修复了该漏洞,发布了相应的补丁[ALL265 unix 2.3.7.8B09][NVR unix 2.3.7.8B05][ALL

  • Hui Wang
    Hui Wang
  • Alex.Turing
    Alex.Turing
9 min read