honeypot

Spring4Shell在野漏洞传播分析

背景介绍 2022年3月31号,Spring针对Spring4Shell漏洞(CVE-2022-22965)事件发布了安全公告[1],并提供了漏洞修复程序,此次漏洞事件在安全社区引起广泛关注。 360网络安全研究院高级威胁狩猎蜜罐系统[2]通过被动监测方式看到了该漏洞在野传播过程,我们也看到了Mirai僵尸网络入场,相关在野漏洞攻击威胁情报已通过自动化形式输出。 Spring4Shell 在野传播 360网络安全研究院高级威胁狩猎蜜罐系统持续监测到Spring4Shell漏洞(CVE-2022-22965)扫描和漏洞利用行为,部分源IP地理位置分布如下: 以下是Top 10 国家/地区统计列表 United States 92 The Netherlands 49 Germany 30 China 21

  • houliuyang
    houliuyang
  • 黄安欣
18 min read
Log4j

从蜜罐视角看Apache Log4j2漏洞攻击趋势

1 概述 Apache Log4j2是一个Java的日志库,可用于控制日志信息的级别和日志生成过程。最近,Apache Log4j2被曝出JNDI注入漏洞(CVE-2021-44228),攻击者仅需要向目标服务器发送特定JNDI链接就可以触发漏洞并在目标机器上执行任意代码,影响面和破坏力极大。受影响用户需及时升级到安全版本。 360网络安全研究院 Anglerfish蜜罐系统在搜集网络攻击威胁情报领域具有国际领先的技术优势。从2017年WannaCry勒索病毒爆发至今,我们通过对网络攻击常见套路的分析和总结,模拟了大量应用协议和漏洞特征。该系统已经具备及时发现并响应大网威胁的能力,在第一时间内发现了多起大规模网络攻击事件。 北京时间2021年12月10日凌晨0:20,距离漏洞公开不足一天,该系统就首次捕获到了Apache Log4j2漏洞相关攻击。截至12月17日,该系统共捕获2042个攻击源IP(其中中国250个,国外1792个)发起的利用Apache Log4j2漏洞的攻击72242次,攻击源IP涉及54个国家,发现132个攻击源IP利用该漏洞传播了属于30个恶意软件家族的617个已知恶意软件md5。 2

  • Rugang Chen
6 min read
Log4j

威胁快讯:Log4j漏洞已经被用来组建botnet,针对Linux设备

年末曝光的Log4j漏洞无疑可以算是今年的安全界大事了。作为专注于蜜罐和botnet检测跟踪的团队,我们自该漏洞被公开后就一直关注它会被哪些botnet利用。今早我们等来了首批答案,我们的Anglerfish和Apacket蜜罐先后捕获到2波利用Log4j漏洞组建botnet的攻击,快速的样本分析表明它们分别用于组建 Muhstik 和Mirai botnet,针对的都是Linux设备。样本分析 MIRAI 这一波传播的为miria新变种,相比最初代码,它做了如下变动: 移除了 table_init/table_lock_val/table_unlock_val 等mirai特有的配置管理函数。 attack_init 函数也被抛弃,ddos攻击函数会被指令处理函数直接调用。 同时,其C2域名选用了一个 uy 顶级域的域名,

  • RootKiter
    RootKiter
  • Hui Wang
    Hui Wang
  • Genshen Ye
    Genshen Ye
5 min read
公有云威胁情报

公有云网络安全威胁情报(202110):趋势及典型案例分析

1 概述云计算服务价格低廉,部署快捷方便,但存在安全风险。黑客可以用虚假信息购买,或入侵他人机器获得云资源,用这些资源窃取、勒索原有用户的数据,或用于发起DDoS攻击、发送垃圾和钓鱼邮件、虚拟货币挖矿、刷单、违法代理和传播僵尸网络木马等其他恶意行为。360网络安全研究院 Anglerfish蜜罐(以下简称“蜜罐系统”)通过模拟仿真技术伪装成针对互联网、物联网以及工业互联网的指纹特征、应用协议、应用程序和漏洞,捕获并分析网络扫描和网络攻击行为。在2021年10月,我们共监测到来自全球58253个云服务器IP共计9213万次的网络扫描和攻击,其中发现云上网站“某市供排水总公司”持续地对外发起网络攻击行为。2 云服务器攻击总体情况由于IPv4地址和网络端口数量是有限的,黑客通过购买或入侵获取云服务器资源后,会扫描互联网IP地址,确定攻击目标。公网上的蜜罐系统模拟成相关设备和应用程序后,

  • Rugang Chen
10 min read
Botnet

Mozi已死,余毒犹存

背景 360NETLAB于2019年12月首次披露了Mozi僵尸网络,到现在已有将近2年时间,在这段时间中,我们见证了它从一个小规模僵尸网络发展为巅峰时占据了极高比例IOT流量巨无霸的过程。 现在Mozi的作者已经被执法机关处置,其中我们也全程提供了技术协助,因此我们认为后续在相当长的一段时间内它都不会继续更新。但我们知道,Mozi采用了P2P网络结构,而P2P网络的一大“优点”是健壮性好, 即使部分节点瘫痪,整个网络仍然能工作。所以即使Mozi作者不再发布新的更新,它仍然会存活一段时间,残余的节点仍然会去感染其它存在漏洞的设备,所以我们现在仍然能看到Mozi在传播,正可谓“百足之虫,死而不僵”。 许多安全厂商都对Mozi进行了跟踪分析,但从我们的角度而言,或多或少有些遗漏,甚至有错误。今天我们将对Mozi的看法总结在下面这篇文章里,以补充安全社区的分析;同时也为我们对Mozi僵尸网络的持续关注画上一个句号。 本文将回答以下问题: 1:Mozi除Bot节点外还有别的功能节点吗? 2:

  • Alex.Turing
    Alex.Turing
  • Hui Wang
    Hui Wang
  • Genshen Ye
    Genshen Ye
14 min read
CVE-2021-26855

Microsoft Exchange 漏洞(CVE-2021-26855)在野扫描分析报告

背景介绍 2021年3月2号,微软披露了Microsoft Exchange服务器的远程代码执行漏洞[1]。 2021年3月3号开始,360网络安全研究院Anglerfish蜜罐开始模拟和部署Microsoft Exchange蜜罐插件,很快我们搜集到大量的漏洞检测数据,目前我们已经检测到攻击者植入Webshell,获取邮箱信息,甚至进行XMRig恶意挖矿(http://178.62.226.184/run.ps1)的网络攻击行为。根据挖矿文件路径名特征,我们将该Miner命名为Tripleone。 2021年3月6号开始,ProjectDiscovery和微软CSS-Exchange项目相继披露了漏洞检测脚本[2][3]。 Microsoft Exchange服务器的远程代码执行漏洞利用步骤复杂,一般从PoC公布到黑色产业攻击者利用需要一定的时间,我们看到这个攻击现象已经开始了。 CVE-2021-26855 植入Webshell POST

  • Genshen Ye
    Genshen Ye
  • houliuyang
    houliuyang
13 min read
QNAP

QNAP NAS在野漏洞攻击事件2

背景介绍 2021年3月2号,360网络安全研究院未知威胁检测系统监测到攻击者正在使用台湾QNAP Systems, Inc.公司的网络存储设备诊断程序(Helpdesk)的未授权远程命令执行漏洞(CVE-2020-2506 & CVE-2020-2507),获取到系统root权限并进行恶意挖矿攻击。 我们将此次挖矿程序命名为UnityMiner,值得注意的是攻击者专门针对QNAP NAS设备特性,隐藏了挖矿进程,隐藏了真实的CPU内存资源占用信息,使用户无法在Web管理界面看到系统异常行为。 2020年10月7号,QNAP Systems, Inc.公司发布安全公告QSA-20-08[1],并指出已在Helpdesk 3.0.3和更高版本中解决了这些问题。 目前,互联网上还没有公布CVE-2020-2506和CVE-2020-2507的漏洞详细信息,由于该漏洞威胁程度极高,为保护尚未修复漏洞的QNAP NAS用户,

  • Ma Yanlong
    Ma Yanlong
  • Genshen Ye
    Genshen Ye
6 min read
Botnet

Fbot僵尸网络正在攻击交通和运输智能设备

背景介绍 Fbot是一个基于Mirai的僵尸网络,它一直很活跃,此前我们曾多次披露过该僵尸网络[1][2]。我们已经看到Fbot僵尸网络使用了多个物联网(Internet of things)设备的N-day漏洞和0-day漏洞(部分未披露),现在它正在攻击车联网(Internet of Vehicles)领域的智能设备,这是一个新现象。 2021年2月20号,360网络安全研究院未知威胁检测系统监测到攻击者正在使用美国Iteris, Inc.公司的Vantage Velocity产品的远程命令执行漏洞(CVE-2020-9020)[3][4],传播Fbot僵尸网络样本。 据维基百科介绍[5],Iteris, Inc.公司为智能移动基础设施管理提供软件和咨询服务,包括软件即服务以及托管和咨询服务,

  • Genshen Ye
    Genshen Ye
  • Alex.Turing
    Alex.Turing
7 min read
0-day

LILIN DVR/NVR 在野0-day漏洞攻击报告2

本文作者:马延龙,叶根深 背景介绍 2020年8月26号,360网络安全研究院Anglerfish蜜罐系统监测到有攻击者,使用Merit LILIN DVR/NVR 默认密码和0-day漏洞,传播Mirai僵尸网络样本。 2020年9月25号,Merit LILIN联络人在收到漏洞报告后,快速地响应并提供了固件修复程序(4.0.26.5618 firmware version for NVR5832)。 此前,我们曾向Merit LILIN报告了另一个0-day漏洞[1][2]。 时间线 2020年9月21号,我们邮件联系Merit LILIN厂商并报告了漏洞详情以及在野攻击PoC。

  • Genshen Ye
    Genshen Ye
6 min read
0-day

Ttint: 一款通过2个0-day漏洞传播的IoT远控木马

本文作者:涂凌鸣,马延龙,叶根深 背景介绍 从2019年11月开始,360Netlab未知威胁检测系统Anglerfish蜜罐节点相继监测到某个攻击者使用2个腾达路由器0-day漏洞传播一个基于Mirai代码开发的远程控制木马(RAT)。 常规的Mirai变种基本都是围绕DDoS做文章,而这个变种不同,在DDoS攻击之外,它针对路由器设备实现了Socket5代理,篡改路由器DNS,设置iptables,执行自定义系统命令等多达12个远程控制功能。 此外,在C2通信层面,它使用WSS (WebSocket over TLS) 协议,一方面这样在流量层面可以规避非常成熟的Mirai流量检测,另一方面可以为C2提供安全加密通信。 在C2本身,攻击者最开始使用了一个Google的云服务IP,其后切换到位于香港的一台托管主机,但是当我们使用网站证书,样本,域名及IP在我们的DNSmon系统里深入扩展关联后,我们看到更多的基础设施IP,更多的样本,和更多的C2域名。

  • Alex.Turing
    Alex.Turing
  • Genshen Ye
    Genshen Ye
12 min read
honeypot

360网络安全研究院杭州开点招聘

团队简介 360网络安全研究院(360Netlab)于2014年成立。不同于传统网络安全主要基于规则,数据分析是团队的主要方向。团队持续专注于DNS和僵尸网络领域,并在领域内保持领先地位。 从2014年开始,团队在DNS方向上建设了国内历史最久、覆盖范围最广的PassiveDNS基础数据库,及其附属其它基础数据库,持续分析产出威胁情报并应用于360网络安全大脑,并在多个DNS领域内的技术会议上做公开报告。在僵尸网络领域内,团队多年来持续致力于发现跟踪僵尸网络活动,披露了包括Mirai、Satori在内的若干重大安全威胁,并因为其中针对Mirai僵尸网络的持续分析工作得到美国FBI、美国司法部的致谢。 360网络安全研究院计划在杭州新成立一个产品团队,把我们的安全数据和技术产品化,探索网络安全行业未知威胁检测难题,为360安全大脑添砖加瓦。 从一次平凡的网络扫描,到漏洞、样本、安全事件分析,再到0-day漏洞检测、未知恶意软件检测、高级威胁追踪,我们致力于通过数据驱动安全,构建网络安全看得见的能力。

  • Genshen Ye
    Genshen Ye
6 min read
QNAP

QNAP NAS在野漏洞攻击事件

本文作者:马延龙,叶根深,金晔 背景介绍 2020年4月21号开始,360Netlab未知威胁检测系统监测到有攻击者使用QNAP NAS设备漏洞,攻击我们的Anglerfish蜜罐节点。我们看到这个漏洞PoC并没有在互联网上公布,攻击者在漏洞利用过程中相对谨慎,互联网上也仍有一些未修复漏洞的QNAP NAS设备。因此,我们需要披露这个漏洞攻击事件,并提醒安全社区和QNAP NAS用户,避免受到此类漏洞攻击。 漏洞分析 漏洞类型: 未授权远程命令执行漏洞 漏洞原因: 通过360 FirmwareTotal系统分析,我们发现这个漏洞出现CGI程序/httpd/cgi-bin/authLogout.cgi中。它在处理用户注销登录时,会根据Cookie中字段名称选择相应的注销登录函数。其中QPS_SID,

  • Genshen Ye
    Genshen Ye
  • jinye
    jinye
5 min read
0-day

多款光纤路由器设备在野0-day漏洞简报

本文作者:马延龙,叶根深,涂凌鸣,金晔 大致情况 这是我们过去30天内的第3篇IoT 0-day漏洞文章,之前我们还披露了DrayTek Router在野0-day漏洞分析报告[1],LILIN DVR在野0-day漏洞分析报告[2]。我们观察到僵尸网络存在相互竞争获取更多的Bot规模的情况,其中有些僵尸网络拥有一些0-day漏洞资源,这使它们看起来与众不同。我们正在研究并观察IoT Botnet使用0-day漏洞传播是否是一个新趋势。 2020年2月28日,360Netlab未知威胁检测系统注意到Moobot僵尸网络[3]开始使用一种我们从未见过的新漏洞(多个步骤),并且可以成功攻击受影响的设备。 2020年3月17日,我们确认此漏洞为0-day漏洞,并将结果报告给CNCERT。 2020年3月18日,Exploit Database[4]网站发布了Netlink

  • Genshen Ye
    Genshen Ye
  • Alex.Turing
    Alex.Turing
  • jinye
    jinye
5 min read