New Threat

比较“81端口的botnet”和 MIRAI 之间的联系

概述 从 "81 端口的异常流量"中,我们发现了一个新的僵尸网络家族,它和 MRIAI 存在一定的联系,本文将介绍一些对比结果,同时介绍一下我们从这个 botnet 中发现的一种依赖SSDP协议的感染机制。 ****注:*如无特殊声明,MIRAI的分析将以github源码为基础;新botnet 将以其中的9584B6AEC418A2AF4EFAC24867A8C7EC样本的逆向结果为基础。 相同点 相同的扫描方案 众所周知,MIRAI在传播过程中用到了SYN端口探测的技巧,来提高传播效率。新Botnet 也使用了该技巧并将其用在了81端口扫描中。随着研究的深入我们发现它和MIRAI有着相同的扫描规则。 在 MIRAI 中,被扫描IP是通过一系列随机函数生成的,但他有个黑名单机制,用于跳过一些IP地址范围(代码来自scanner.c),相关截图如下: 而在我们发现的 新Botnet 中(截图选自sub_A7C4函数),也有完全相同的黑名单机制(上下两图红框中是三行比对样例,实际上整个 while 循环体都是完全一致的)。 部分util函数同
  • RootKiter
    RootKiter
6 min read
New Threat

新威胁报告:一个新IoT僵尸网络正在 HTTP 81上大范围传播

概述 360 网络安全研究院近日监测到一个新的僵尸网络正在大范围扫描整个互联网。考虑到该僵尸网络的以下因素,我们决定向安全社区公开我们的发现成果: 1. 规模较大,我们目前可以看到 ~50k 日活IP 2. 有Simple UDP DDoS 攻击记录,可以认定是恶意代码 3. 较新,目前尚有较多安全厂商未能识别该恶意代码 ( 7/55 virustotal ) 4. 与mirai僵尸网络相比,借鉴了其端口嗅探手法和部分代码,但是在传播、C2通信协议、攻击向量等关键方面完全不同于mirai,是新的恶意代码家族而不应视为mirai的变种 我们梳理了该僵尸网络的发现过程、传播手法、行为特征,简略分析了该僵尸网络的攻击行为,并按照时间线组织本blog的各小节如下: 1. GoAhead及多家摄像头的 RCE 漏洞 2. 攻击者将漏洞武器化 3. 我们注意到了来自攻击者的扫描 4. 从扫描到样本 5. C2 历史变化回溯 6. 僵尸网络规模判定 7.
  • Li Fengpei
    Li Fengpei
16 min read