DDoS - 360 Netlab Blog - Network Security Research Lab at 360 (Page 2)

DDoS

A collection of 57 posts

MooBot on the run using another 0 day targeting UNIX CCTV DVR

This report is jointly issued by CNCERT and Qihoo 360 Overview Moobot is a botnet we first reported in September 2019[1]. It has been pretty active since its appearance and we reported before it has the ability to exploit 0day vulnerabilities[2][3] . In Jun, we were able to

Moobot 在野0day利用之UNIXCCTV DVR命令注入

本报告由国家互联网应急中心（CNCERT）与北京奇虎科技有限公司（360）共同发布概述 Moobot是一个基于Mirai开发的僵尸网络，自从其出现就一直很活跃，并且拥有0day漏洞利用的能力。我们有多篇和该botnet相关的文章，感兴趣的读者可以去阅读[1][2][3]。本文主要介绍CNCERT和360公司共同发现的Moobot针对UNIXCCTV DVR/NVR设备的0day利用。关于该漏洞的详细细节我们通知了厂家，并且确认当前厂家已经修复了该漏洞，发布了相应的补丁[ALL265 unix 2.3.7.8B09][NVR unix 2.3.7.8B05][ALL unixip 2.3.4.8B06]。友情提醒此类设备的用户及时更新设备固件。时间线 * 2020-06-09 首次捕获到针对该漏洞的探测扫描 * 2020-06-24 首次捕获利用该漏洞传播的Moobot样本 * 2020-08-24 厂家发布补丁修复bug 漏洞利用过程我们捕获的Moobot样本并不具有该漏洞的利用功能。Moobot通过Loader扫描8000端口，定位到目标设备

The new Bigviktor Botnet is Targeting DrayTek Vigor Router

Overview On June 17, 2020, 360Netlab Threat Detecting System flagged an interesting ELF sample (dd7c9d99d8f7b9975c29c803abdf1c33), further analysis shows that this is a DDos Bot program that propagates through the CVE-2020-8515 vulnerability which targets the DrayTek Vigor router device, and it uses DGA (Domain generation algorithm) to generate C2 domain names.

千面人:Bigviktor 分析报告

千面人:Bigviktor 分析报告

概览 2020年6月17日，360Netlab未知威胁检测系统发现一个低检测率的可疑ELF文件(dd7c9d99d8f7b9975c29c803abdf1c33)，目前仅有一款杀毒引擎检测识别;同时流量检测系统将其产生的部分流量标注了疑似DGA，这引起了我们的注意。经过详细分析，我们确定这是一个通过CVE-2020-8515漏洞传播，针对DrayTek Vigor路由器设备，拥有DGA特性，主要功能为DDos攻击的新僵尸网络的Bot程序。因为传播过程中使用的"viktor"文件名(/tmp/viktor)以及样本中的0xB16B00B5(big boobs)字串，我们将其命名为Bigviktor。从网络层面来看，Bigviktor遍历DGA每月产生的1000个随机域名，通过请求RC4加密&ECSDA256签名的s.jpeg来确认当前存活的有效C2，然后向C2请求image.jpeg,执行具体的任务；从功能层面来看，Bigviktor支持8种指令，可以分成2大功能 * DDoS攻击 * 自更新其整体网络结构如图所示， Botnet规模日活Bot

An Update for a Very Active DDos Botnet: Moobot

Moobot is a mirai based botnet. Spread through weak telnet passwords and some nday and 0day vulnerabilities.

那些年我们一起追过的僵尸网络之Moobot

Moobot是一个基于mirai开发的僵尸网络,样本通过Telnet弱口令和利用nday,0day漏洞传播

The LeetHozer botnet

Background On March 26, 2020, we captured a suspicious sample11c1be44041a8e8ba05be9df336f9231. Although the samples have the word mirai in their names and most antivirus engines identified it as Mirai, its network traffic is totally new,which had got our attention. The sample borrowed some of Mirai’s Reporter and Loader mechanism,

LeetHozer Botnet分析报告

背景 2020年3月26日我们捕获了一个可疑的样本 11c1be44041a8e8ba05be9df336f9231，大部分杀毒引擎将其识别为Mirai，但是其网络流量却不符合Mirai的特征，这引起了注意，经分析，这是一个复用了Mirai的Reporter，Loader机制，重新设计了加密方法以及C2通信协议的Bot程序。 Mirai已经是安全社区非常熟悉的老朋友，蜜罐系统每天都能捕获大量的Mirai变种，这些变种都非常简单:要么是换一换C2;要么改一改加密的Key;要么集成些新的漏洞扫描……这些入门级的DDoser已经不能引起我们的任何兴趣了。这个Bot程序之所以能在众多变种脱颖而出，一是因为它独特的的加密方法，严谨的通信协议；二是因为在溯源过程中，我们发现它很有可能隶属于Moobot团伙而且正在迭代开发中（就在我们编写本文的同时作者更新了第三个版本，增加了一些新功能，更换了新的Tor CC vbrxmrhrjnnouvjf.onion:31337）。基于这些原因，我们决定将它曝光。因为传播过程中使用H0z3r字串(/bin/busybox wget http://37[.4

Icnanker, a Linux Trojan-Downloader Protected by SHC

Background On August 15, 2019, 360Netlab Threat Detecting System flagged an unknown ELF sample (5790dedae465994d179c63782e51bac1) which generated Elknot Botnet related network traffic. We manually took a look and noticed that it is a Trojan-Downloader which utilizes "SHC (Shell script compiler)" technique and propgrates through weak SSH credentials. The

Icnanker, 一个使用了SHC技术的木马下载器

背景介绍 2019年8月15日，360Netlab恶意流量检测系统发现一个通过SSH传播的未知ELF样本(5790dedae465994d179c63782e51bac1)产生了Elknot Botnet的相关网络流量，经分析这是一个使用了"SHC(Shell script compiler)"技术的Trojan-Downloader，作者是老牌玩家icnanker。icnanker其人于2015年被网络曝光，擅长脚本编程，性格高调，喜欢在脚本中留下名字，QQ等印记。此次攻击，在我们看来没有太多的新颖性，因此并没有公开。 2020年3月12日，友商IntezerLab将一变种(6abe83ee8481b5ce0894d837eabb41df)检测为Icnanker。我们在看了这篇文档之后，觉得还是值得写一笔，因为IntezerLab漏了几个有意思的细节: * SHC技术 * Icananker的分类及其功能 * Icananker分发的业务概览 Icnanker是我们观察到的第一个使用SHC技术的家族，针对Linux平台，其名字源于脚本中作者的标识“by

Mozi, Another Botnet Using DHT

Mozi Botnet relies on the DHT protocol to build a P2P network, and uses ECDSA384 and the xor algorithm to ensure the integrity and security of its components and P2P network. The sample spreads via Telnet with weak passwords and some known exploits

P2P Botnet：Ｍozi分析报告

Mozi Botnet是Hajime之后，另一个基于DHT协议实现的P2P Botnet

The Botnet Cluster on the 185.244.25.0/24

In the past few years, we have seen quite a few botnets on the 185.244.25.0/24 netblock, how many? Readers can take a look at the following tag cloud, which represents the keywords used in some of the samples using IPs within this netblock as loader IPs.

那些和185.244.25.0/24网段有关的Botnet

根据我们的观察，过去几年185.244.25.0/24这个网段出现了超多的Botnet，包括但不仅限于mirai、gafgyt、tsunami、fbot、moobot、handymanny等，他们属于同一个组织或共享了相关代码。下表是过去一年我们关于该网段的一些统计数据。可以看出该网段有很多的CC和攻击行为。 Count of CC (host:port) Count of attack target host Count of downloader IP Count of loader IP 416 36933 166 181 本文主要介绍和该网段有关最近比较活跃/有趣的几个Botnet家族，包括moobot、fbot、handymanny等。对于其他Botnet为了方便读者了解该网段下具体有那些Botnet及其变种，我们用该网段下的Loader IP植入样本阶段使用的关键字生成一张Tag cloud图，大致反应该网段下有那些Botnet及其变种。如下图所示： moobot moobot基于mirai开发。

Emptiness: A New Evolving Botnet

Background Our honeypot system captured a new DDoS botnet sample on 2019-06-23. We named it Emptiness which comes from the running process name as well as its C2 domain. Emptiness is written by Golang and supports both Windows and Linux. Our further analysis reveal its iterative evolution: the early version

那些总是想要和别人强行发生关系的僵尸网络之Emptiness

背景 2019年06月23日我们捕获了一个全新的DDoS僵尸网络样本，因其启动时设置的进程名以及C2中有emptiness字样，所以我们将其命名为Emptiness。Emptiness由golang编写，当前发现的样本包括Windows和Linux两种平台版本。在溯源过程中，我们发现其作者长期维护着一个mirai变种僵尸网络，早期的Emptiness自身没有传播能力只有DDoS功能，是由mirai loader来完成样本植入的，后期的版本增加了ssh扫描功能，可独立完成Emptiness自身样本的传播。我们还注意到其不断修改mirai变种和Emptiness的CC协议，也许是为了对抗安全研究人员跟踪其僵尸网络攻击行为。 Emptiness的那些事 * 我们猜测其最早出现时间应该是2019年06月09日，遗憾的是当时我们并没有成功下载到http:[//blogentry.hopto.org/emptiness相关的样本。下图是我们捕获这个URL的时间， * 2019-06-23日我们首次捕获到该僵

The new developments Of the FBot

Update 2019.12.04: Recently we have received quite a few requests of comment about this blog. We feel it necessary to list following facts here: 1. Kenneth Crurrin Schuchman, with nicknames "Nexus" or "Nexus-Zeta", a 21 years old young man, has pleaded guilty on 2019.

FBot 新进展

【更新：2019年12月4日】近期我们多次收到针对本blog的询问。我们决定将一些事实补充列出如下： ——Kenneth Crurrin Schuchman，绰号 Nexus-Zeta，一名21岁的年轻人，已经于2019年9月3日向美国阿拉斯加区域法庭认罪。Schuchman的认罪书表明，Schuchman及其同谋者通过感染大批设备，创建了一系列僵尸网络，包括 Satori，Okiru，Masuta，Tsunami，Fbot，并利用这些僵尸网络的DDoS破坏力牟利； ——本 Blog 中涉及到的脆弱性并非发生在 Hisilicon。通过后续分析以及安全社区交流，我们确认该脆弱性发生在华为海思的供应链下游厂商。为了保护最终客户的利益，我们决定不公开脆弱性细节、攻击者使用的载荷或者具体厂商名字； ——华为 PSIRT 对我们披露的安全事件，作出了负责任的响应；读者在继续阅读本blog时，应当明确blog和样本中出现的 Hisilicon字样，源自Schuchman及其同谋者的错误判断。实际上整个IoT产业链条庞杂，其体量远超攻击者或者任何单一从业人员能够理解的范围。只有产业界

Smoke Loader:主体、控制台、插件，以及盗版之殇

Smoke Loader 是一个在黑市上公开销售的僵尸网络软件。其活动时间可以追溯到2011年，虽然近年来已经被多次曝光，但保持持续升级，非常活跃。在我们统计中，仅最近半年活跃的样本就超过 1,500 个。我们在跟踪这一家族的过程中，捕获了一套完整的恶意程序套件，包括其主体Loader、控制台Panel，以及控制台中包含的插件。对这套样本的分析使我们对其运行机制有了更深入的了解，这将是本文的主要内容之一。分析过程中，我们还遇到一组被修改过的特例样本。虽然有人认为这组样本是作者在对抗安全研究人员提取C2主控域名，但仔细分析后，我们认为这是第三方做“盗版”。这部分的分析和研判过程，是本文的主要内容之二。 Smoke Loader相关的分析文档已经很多，本文不会涉及已经被公开的部分。相关内容，读者可以参阅文末参考部分。 Smoke Loader 套件分析套件中的文件结构见后图，说明如下： * 本体，Loader_new_Cyberbunker.exe * Web控制台，Panel ，使用未加密的PHP语言编写 * 插件，包括 Panel/mods 和

Malicious Campaign luoxk Is Actively Exploiting CVE-2018-2893

Author: Zhang Zaifeng, yegenshen, RootKiter, JiaYu On July 18, in an officially released routine patch update, Oracle fixed CVE-2018-2893, an Oracle WebLogic Server remote code execution vulnerability. Three days later, at 2018-07-21 11:24:31 GMT+8, we noticed that a malicious campaign that we have been tracking for a

恶意代码团伙luoxk正在积极利用 CVE-2018-2893 传播

文章作者：Zhang Zaifeng, yegenshen, RootKiter, JiaYu 7月18日，Oracle在官方发布的例行补丁更新中修复了CVE-2018-2893，一个Oracle WebLogic Server 远程代码执行漏洞。一般认为漏洞影响严重且相关PoC已经公开，建议相关用户尽快进行评估升级。三天后，2018-07-21 11:24:31 开始，我们注意到一个长久以来我们跟踪的恶意代码团伙正在积极利用该漏洞传播自身。由于该团伙经常使用 luoxkexp[.]com ，我们将其命名为 luoxk 。该恶意代码团伙第一次触发我们的警铃是在一年前的2017年3月17日，我们的DNSMon系统，在该恶意代码团伙域名注册后的第二天根据算法自动判断该域名异常。在那以后，我们持续观察了该恶意代码团伙的行为，包括： * DDoS攻击：使用DSL4（Nitol）恶意代码，对应的C2 luoxkexp.com * 挖矿：挖矿使用的钱包地址是 48WDQHCe5aRDeHv1DkkdwQiPRQSqYw2DqEic7MZ47iJVVTeQ1aknD

Botnets never Die, Satori REFUSES to Fade Away

Two days ago, on 2018-06-14, we noticed that an updated Satori botnet began to perform network wide scan looking for uc-httpd 1.0.0 devices. Most likely for the vulnerability of XiongMai uc-httpd 1.0.0 (CVE-2018-10088). The scanning activities led to a surge in scanning traffic on ports 80

僵尸永远不死，Satori也拒绝凋零

两天前，2018-06-14，我们注意到 Satori 的作者开始扫描收集 uc-httpd 1.0.0 设备的IP地址列表。这或许是为了针对4月公开的脆弱性 XiongMai uc-httpd 1.0.0 (CVE-2018-10088) 在做准备。这些扫描活动导致了近期在 80 和 8000 端口上的扫描流量大涨。 3小时前，就在我们撰写本篇文章的同时，Satori 作者又发布了一个更新版本。这个更新是个蠕虫，针对 D-Link DSL-2750B 设备，对应的漏洞利用在5月25日刚刚公开。僵尸永远不死 Satori 是 Mirai 僵尸网络的一个变种，我们首次注意到该僵尸网络是 2017-11-22。一周之后，2017-12-05，Satori在12小时内感染了超过26万家用路由器设备，成为臭名昭著的僵尸网络。从那以后我们不再使用“一个mirai僵尸网络变种”称呼它，而是给予了它一个独立的名字 Satori。

Botnet Muhstik is Actively Exploiting Drupal CVE-2018-7600 in a Worm Style

On March 28, 2018, drupal released a patch for CVE-2018-7600. Drupal is an open-source content management system written in PHP, quite popular in many sites to provide web service. This vulnerability exists in multiple drupal versions, which may be exploited by an attacker to take full control of the target.

僵尸网络 Muhstik 正在积极利用 Drupal 漏洞 CVE-2018-7600 蠕虫式传播

2018年3月28日，Drupal.org 公布了漏洞 CVE-2018-7600 的修复方案。Drapal 是一个开源的内容管理系统，由PHP语言写成，有很多网站使用 Drupal 向外提供网页服务。本次漏洞存在于 Drupal 的多个版本中，攻击者可以利用该漏洞完全控制网站。从2018年4月13日开始，360网络安全研究院观测到互联网上有大量针对该漏洞的扫描。通过分析，我们认为有至少3组恶意软件在利用该漏洞传播。其中一组恶意软件有蠕虫传播行为，感染量显著比其他的恶意软件更多。分析后，我们认为这是一个长期存在的僵尸网络家族。我们将其命名为 muhstik，这主要是因为其二进制文件名和通信协议中多处包含了这个字符串。我们认为 muhstik 有以下特点值得社区关注： * 蠕虫式传播 * 长期存在 * 使用的漏洞利用数目众多 * 混合使用了多种牟利方式攻击载荷按照时间顺序，Muhstik使用了下面两组攻击载荷，这两组载荷占据了全部看到的载荷的80%左右，是我们看到的攻击的主要部分： * 活跃时间：2018-04-14 03:33:06~ 2018