rinfo

rinfo卷土重来,正在疯狂扫描和挖矿

版权 版权声明:本文为Netlab原创,依据CC BY-SA 4.0 许可证进行授权,转载请附上出处链接及本声明。 概述 2018年我们公开过一个利用ngrok.io传播样本的扫描&挖矿型botnet家族: "利用ngrok传播样本挖矿",从2020年10月中旬开始,我们的BotMon系统检测到这个家族的新变种再次活跃起来,并且持续至今。相比上一次,这次来势更加凶猛,截至2021年2月6号,我们的Anglerfish蜜罐共捕获到11864个scanner样本,1754个miner样本,3232个ngrok.io临时域名。样本捕获情况可以参考下面的捕获记录。 目前该家族仍在传播之中,本文将结合老版本对新变种做一对比分析,要点如下: 1. 该家族整体结构未变,仍由扫描和挖矿2大模块组成,扫描的目的仍然是为了组建挖矿型botnet。 2. 样本跟2018年分析的那批同源,只是功能稍有变化,为最新变种。 3. 新版本仍然依赖ngrok.io来分发样本和上报结果。 4. 扫描的端口和服务有所变化,不再扫描Apache CouchDB和MODX服务,同时增加了3个新的
  • LIU Ya
    LIU Ya
8 min read
muhstik

僵尸网络 Muhstik 正在积极利用 Drupal 漏洞 CVE-2018-7600 蠕虫式传播

2018年3月28日,Drupal.org 公布了漏洞 CVE-2018-7600 的修复方案。Drapal 是一个开源的内容管理系统,由PHP语言写成,有很多网站使用 Drupal 向外提供网页服务。本次漏洞存在于 Drupal 的多个版本中,攻击者可以利用该漏洞完全控制网站。 从2018年4月13日开始,360网络安全研究院观测到互联网上有大量针对该漏洞的扫描。通过分析,我们认为有至少3组恶意软件在利用该漏洞传播。其中一组恶意软件有蠕虫传播行为,感染量显著比其他的恶意软件更多。分析后,我们认为这是一个长期存在的僵尸网络家族。我们将其命名为 muhstik,这主要是因为其二进制文件名和通信协议中多处包含了这个字符串。 我们认为 muhstik 有以下特点值得社区关注: * 蠕虫式传播 * 长期存在 * 使用的漏洞利用数目众多 * 混合使用了多种牟利方式 攻击载荷 按照时间顺序,Muhstik使用了下面两组攻击载荷,这两组载荷占据了全部看到的载荷的80%左右,是我们看到的攻击的主要部分: * 活跃时间:2018-04-14 03:33:06~ 2018
  • Genshen Ye
    Genshen Ye
14 min read