DDoSMon - 360 Netlab Blog - Network Security Research Lab at 360

DDoSMon

A collection of 12 posts

Botnets never Die, Satori REFUSES to Fade Away

Two days ago, on 2018-06-14, we noticed that an updated Satori botnet began to perform network wide scan looking for uc-httpd 1.0.0 devices. Most likely for the vulnerability of XiongMai uc-httpd 1.0.0 (CVE-2018-10088). The scanning activities led to a surge in scanning traffic on ports 80

僵尸永远不死，Satori也拒绝凋零

两天前，2018-06-14，我们注意到 Satori 的作者开始扫描收集 uc-httpd 1.0.0 设备的IP地址列表。这或许是为了针对4月公开的脆弱性 XiongMai uc-httpd 1.0.0 (CVE-2018-10088) 在做准备。这些扫描活动导致了近期在 80 和 8000 端口上的扫描流量大涨。 3小时前，就在我们撰写本篇文章的同时，Satori 作者又发布了一个更新版本。这个更新是个蠕虫，针对 D-Link DSL-2750B 设备，对应的漏洞利用在5月25日刚刚公开。僵尸永远不死 Satori 是 Mirai 僵尸网络的一个变种，我们首次注意到该僵尸网络是 2017-11-22。一周之后，2017-12-05，Satori在12小时内感染了超过26万家用路由器设备，成为臭名昭著的僵尸网络。从那以后我们不再使用“一个mirai僵尸网络变种”称呼它，而是给予了它一个独立的名字 Satori。

RSA大会 '2018，360Netlab的威胁情报服务

RSA大会'2018 即将在4月16日至19日期间在美国旧金山Moscone中心举办。在今年的这次大会上，360Netlab将首次集中展示威胁情报服务能力。您可以在这里观看介绍视频，记得可能需要手动调到1080P。您也可以试用在线系统，包括 DDoSMon 和ScanMon 。 DDoSMon、ScanMon和DNSMon，是360Netlab本次展示威胁情报服务能力的三个主要组成部分。三者分别提供拒绝服务、网络扫描、域名异常的监控能力，应对全球网络流量实时处理。 * DNSMon是2018年新推出的能力。在DNSMon里面，我们实时的分析海量的DNS流量，并对流量中的各种异常和关联关系予以分析，从而发现大网流行的恶意代码行为。另一方面，DNSMon将我们指向未知威胁发现领域，我们期待在这个领域内作出更多成果。DNSMon相关已经公开的成功案例，包括之前公布的“偷电”系列分析文章。 * ScanMon早先在2016年ISC和2017 RSAC大会上两次公布。利用ScanMon，我们可以第一时间感知网络扫描行为，并方便有效的识别对应的攻击者。例如，360网络安全研究院在针

Memcache UDP Reflection Amplification Attack II: The Targets, the Sources and Breakdowns

In less then ten days, Memcache DDoS attack has come out of nowhere and really captured lots of attentions within the security community. When we look at the news, we see all sort of reports but hardly can get a good idea what the real situation is, for example the

Memcache UDP 反射放大攻击 II: 最近的数据分析

我们在之前的文章中已经提及，Memcache DRDoS 自从被360 0kee team首次公开批露以来，在过去的9个月中在网络上都不活跃。但是最近十天以来，Memcache DRDoS 在现网中的攻击越来越频繁，所制造的攻击流量也在不断刷新，当前最新的公开记录已经到了 1.7Tbps 。关于这种攻击方式，目前还有很多问题等待回答。例如，到底已经有多少受害者、攻击中所使用的反射点到底有多少、实际发生的反射放大倍数是多少，等等。通过回答这些问题，我们可以充分描述当前总体态势，有助于安全社区理解这种新的DDoS攻击方式。为此我们在 Memcache DRDoS 在 DDoSMon 上建立了一个实时页面，展示我们看到的相关DDoS攻击情况，供安全社区参考。总体趋势上面两图展示了每天中发生的攻击事件次数。可以看出，从2018-02-24开始，这种攻击在几天内快速发展。我们暂且将时间划分为下面这些阶段： * ~ 2018-02-24 之前，每日平均小于 50 起攻击事件 * 第一阶段：02-24 ~ 02-28，

Memcache DDoS: A Little Bit More

This blog is a joint effort of 360 0kee Team, 360 CERT, and 360 Netlab. Memcache UDP Reflection Amplification DDoS (hereinafter referred as Memcache DRDoS) has attracted quite some attentions from security community this week. We are not going to repeat the public known facts, and this blog will only

Memcache UDP反射放大攻击技术分析

本篇技术blog，由360信息安全部0kee Team、360网络安全研究院、360-CERT共同发布。 Memcache UDP 反射放大攻击（以下简称 Memcache DRDoS）在最近的一周里吸引了安全社区的较多注意。以下介绍我们对该类型攻击观察到的情况。在PoC 2017 会议上的原始报告 Memcache DRDoS，由360信息安全部0kee Team在2017-06 附近首先发现，并于 2017-11 在 PoC 2017 会议上做了公开报告。会议报告在这里，其中详细介绍了攻击的原理和潜在危害。在这份文档中，作者指出这种攻击的特点： * memcache 放大倍数超高，至少可以超过50k； * memcache 服务器（案例中的反射点）数量较多，2017-11时估算全球约有 60k 服务器可以被利用，并且这些服务器往往拥有较高的带宽资源。基于以上特点，作者认为该攻击方式可以被利用来发起大规模的DDoS攻击，某些小型攻击团队也可能因此获得原先没有的大流量攻击能力。在 DDoSMon 上观察到的现网趋势自批露以来，

CLDAP反射放大攻击超过SSDP和CharGen成为第三大反射型DDoS攻击

作者：Xu Yang，kenshin 利用DDoSMon.net，我们实时并持续的监控全球DDoS攻击相关事件。长期以来，DDoS攻击的反射放大细分类型中，DNS、NTP、CharGen、SSDP是最经常被滥用的服务，过去一年中的排位依次是第1、2、3、4位。近期我们注意到，基于CLDAP的反射放大攻击（以下称为CLDAP攻击）已经超过SSDP和CharGEN成为第三大反射型DDoS攻击。CLDAP攻击在过去365天和90天在反射放大类DDoS攻击中占据比例，对比如下图：数据来源：DDoSMon。网站上Insight页面的内容可以覆盖本次blog中的大部分数据。 CLDAP攻击首次出现是在去年10月底，到现在恰好一年。本篇blog中，我们对CLDAP攻击上升情况做一个回顾： * 在过去的一年中，我们累积观察到304,146次CLDAP反射放大攻击，涉及215,229 个独立IP，或者说受害者。CLDAP早已经成为现实存在的DDoS攻击威胁。 * 值得注意的是，最近两三个月以来，CLDAP攻击发展进入新的阶段。在我们的监测范围内，过去三个月内CLDA

CLDAP is Now the No.3 Reflection Amplified DDoS Attack Vector, Surpassing SSDP and CharGen

Author: Xu Yang，kenshin With our DDoSMon, we are able to perform continuous and near real-time monitoring on global DDoS attacks. For quite a long time, DNS, NTP, CharGen and SSDP have been the most frequently abused services in DDoS reflection amplification attacks. They rank respectively 1st, 2nd, 3rd and

New Threat Report: A new IoT Botnet is Spreading over HTTP 81 on a Large Scale

Overview 360 Network Security Research Lab recently discovered a new botnet that is scanning the entire Internet on a large scale. Taking into account the following factors in the botnet, we decided to disclose our findings to the secure community: 1. Very active, we can now see ~ 50k live scanner

新威胁报告：一个新IoT僵尸网络正在 HTTP 81上大范围传播

概述 360 网络安全研究院近日监测到一个新的僵尸网络正在大范围扫描整个互联网。考虑到该僵尸网络的以下因素，我们决定向安全社区公开我们的发现成果： 1. 规模较大，我们目前可以看到～50k 日活IP 2. 有Simple UDP DDoS 攻击记录，可以认定是恶意代码 3. 较新，目前尚有较多安全厂商未能识别该恶意代码 ( 7/55 virustotal ) 4. 与mirai僵尸网络相比，借鉴了其端口嗅探手法和部分代码，但是在传播、C2通信协议、攻击向量等关键方面完全不同于mirai，是新的恶意代码家族而不应视为mirai的变种我们梳理了该僵尸网络的发现过程、传播手法、行为特征，简略分析了该僵尸网络的攻击行为，并按照时间线组织本blog的各小节如下： 1. GoAhead及多家摄像头的 RCE 漏洞 2. 攻击者将漏洞武器化 3. 我们注意到了来自攻击者的扫描 4. 从扫描到样本 5. C2 历史变化回溯 6. 僵尸网络规模判定 7.

关于 dyn / twitter 受攻击情况的说明和 mirai 僵尸网络的回顾

【更新记录】 2016-10-23 初始版本 2016-10-27 获得了少量攻击现场数据，分析结果与之前观点吻合一致。北京时间2016年10月21 日晚间，北美地区大量反馈若干重要的互联网网站无法正常访问。涉及到的网站包括 twitter， paypal，github等等，由于这些网站与北美地区日常生活强烈相关，这次网络故障被北美主要媒体广泛报道，也引起了安全社区的强烈关注。我们与国外安全社区一起协同，对本次网络事件提供数据、加以分析并做了溯源跟踪。目前我们已经能够确定本次事件是一次DDoS网络攻击事件，攻击目标主要是Dynamic Network Services（dyn）公司，twitter、paypal、github等网站作为dyn公司的客户，在本次攻击中不幸被波及。在攻击持续溯源的过程中，虽然目前Flashpoint公司已经确认最近广泛受关注的mirai僵尸网络参与了本次网络攻击，但是我们倾向认为虽然mirai贡献了本次攻击的部分攻击流量，但并非所有的攻击流量都来自原始泄漏版本mirai。具体来源不明，可能是源自我们数据地缘性导致的分析误差，也可能是来自