DDoS

FBot 新进展

【更新:2019年12月4日】近期我们多次收到针对本blog的询问。我们决定将一些事实补充列出如下: ——Kenneth Crurrin Schuchman,绰号 Nexus-Zeta,一名21岁的年轻人,已经于2019年9月3日向美国阿拉斯加区域法庭认罪。Schuchman的认罪书表明,Schuchman及其同谋者通过感染大批设备,创建了一系列僵尸网络,包括 Satori,Okiru,Masuta,Tsunami,Fbot,并利用这些僵尸网络的DDoS破坏力牟利; ——本 Blog 中涉及到的脆弱性并非发生在 Hisilicon。通过后续分析以及安全社区交流,我们确认该脆弱性发生在华为海思的供应链下游厂商。为了保护最终客户的利益,我们决定不公开脆弱性细节、攻击者使用的载荷或者具体厂商名字; ——华为 PSIRT 对我们披露的安全事件,作出了负责任的响应; 读者在继续阅读本blog时,应当明确blog和样本中出现的 Hisilicon字样,源自Schuchman及其同谋者的错误判断。实际上整个IoT产业链条庞杂,其体量远超攻击者或者任何单一从业人员能够理解的范围。只有产业界
  • Genshen Ye
    Genshen Ye
  • Hui Wang
    Hui Wang
  • RootKiter
    RootKiter
8 min read
Botnet

Smoke Loader:主体、控制台、插件,以及盗版之殇

Smoke Loader 是一个在黑市上公开销售的僵尸网络软件。其活动时间可以追溯到2011年,虽然近年来已经被多次曝光,但保持持续升级,非常活跃。在我们统计中,仅最近半年活跃的样本就超过 1,500 个。 我们在跟踪这一家族的过程中,捕获了一套完整的恶意程序套件,包括其主体Loader、控制台Panel,以及控制台中包含的插件。对这套样本的分析使我们对其运行机制有了更深入的了解,这将是本文的主要内容之一。 分析过程中,我们还遇到一组被修改过的特例样本。虽然有人认为这组样本是作者在对抗安全研究人员提取C2主控域名,但仔细分析后,我们认为这是第三方做“盗版”。这部分的分析和研判过程,是本文的主要内容之二。 Smoke Loader相关的分析文档已经很多,本文不会涉及已经被公开的部分。相关内容,读者可以参阅文末参考部分。 Smoke Loader 套件分析 套件中的文件结构见后图,说明如下: * 本体,Loader_new_Cyberbunker.exe * Web控制台,Panel ,使用未加密的PHP语言编写 * 插件,包括 Panel/mods 和
  • jinye
    jinye
13 min read
Botnet

“双枪”木马的基础设施更新及相应传播方式的分析

1. 引述 2018.12.23 日,我们的 DNSMon 系统监测到以下三个异常的域名,经过研判这些域名属于 双枪 木马的网络基础设施。考虑到这些域名仅在最近才注册并启用,我们认为双枪木马近期在更新其基础设施,建议安全社区加以关注。 white[.]gogo23424.com www[.]src135.com www[.]x15222.com 双枪 木马是目前我们见过的最复杂的恶意程序之一,最早由 360 安全卫士团队披露,并对其木马工作原理做了详细的技术分析。双枪木马本身集 Rootkit 和 Bootkit(同时感染 MBR 和 VBR)于一身,还有诸多对抗措施。除此之外,双枪木马恶意活动相关的网络基础设施十分庞杂,感染路径繁琐、传播手段多样,涉及的黑灰产业务种类也五花八门。 之前对双枪木马的公开披露内容主要涉及双枪木马本身的工作原理、涉及的黑灰产业务以及部分溯源。对其传播过程的技术细节少有涉及。在双枪木马多种多样的传播方式中,按照我们的统计,
  • JiaYu
25 min read
Botnet

BCMUPnP_Hunter:疑似10万节点级别的僵尸网络正在滥用家用路由器发送垃圾邮件

本文由 Hui Wang、RootKiter共同撰写 360Netlab在2018年9月注意到一个新的僵尸网络。该僵尸网络的感染数量特别巨大,每个扫描波次中活跃的IP地址为10万左右,值得引起安全社区的警惕。 我们将该僵尸网络命名为 BCMUPnP_Hunter,主要是考虑基其感染目标特征。该僵尸网络有以下几个特点: * 感染量特别巨大,每个波次中活跃的扫描IP均在10万左右; * 感染目标单一,主要是以BroadCom UPnP为基础的路由器设备; * 样本捕获难度大,在高交互蜜罐中需模拟多处设备环境后才能成功捕获; * 自建代理网络(tcp-proxy),该代理网络由攻击者自行实现,可以利用 bot端 为跳板,代理访问互联网; * 该代理网络目前主要访问Outlook,Hotmail,Yahoo! Mail 等知名邮件服务器,我们高度怀疑攻击者的意图主要是和发送垃圾邮件有关。 处理时间线 * 2013年10月 DefenseCode的安全研究人员发现Broadcom UPnP 实现存在重大安全漏洞。考虑到漏洞的严重性,并没有立即公开他们的发现。 *
  • Hui Wang
    Hui Wang
11 min read
GhostDNS

GhostDNS正在针对巴西地区70种、100,000+家用路由器做恶意DNS劫持

背景介绍 从2018年9月20号开始,360Netlab Anglerfish蜜罐系统监测到互联网上有大量IP正在针对性地扫描路由器系统。攻击者尝试对路由器Web认证页面进行口令猜解或者通过dnscfg.cgi漏洞利用绕过身份认证,然后通过相应DNS配置接口篡改路由器默认DNS地址为Rogue DNS Server[1] 。 我们共发现3套成熟的DNSChanger程序,根据其编程语言特性我们将它们分别命名为Shell DNSChanger,Js DNSChanger,PyPhp DNSChanger。目前这3套DNSChanger程序由同一个恶意软件团伙运营,其中以PyPhp DNChanger部署规模最大。根据其功能特性,我们将它们统一命名为DNSChanger System。 事实上DNSChanger System是该恶意软件软件团伙运营系统中的一个子系统,其它还包括:Phishing Web System,Web Admin System,Rogue DNS System。这4个系统之间相互协同运作实现DNS劫持功能,我们将这整个系统命名为GhostDNS。
  • Genshen Ye
    Genshen Ye
24 min read
adbminer

Fbot,一个Satori相关的、基于区块链DNS的蠕虫

从2018-09-13 11:30 UTC开始,我们首次注意到一个新的蠕虫正在清理 com.ufo.miner。在完成了清理动作后,该蠕虫会等待来自C2(musl.lib,66.42.57.45:7000, Singapore/SG)的下一步指令。我们将该蠕虫命名为fbot,主要是因为该蠕虫的主要执行模块使用了这个名字。该C2域名的解析,需要通过EmerDNS,一个emercoin.com旗下的区块链DNS完成。 com.ufo.miner 与我们之前多次 报告 的 ADB.Miner 类似,利用adb安卓调试接口传播,并挖矿。ADB.Miner 是我们今年二月首次 报告 的,自那以后,类似的其他僵尸网络已经长期传播,感染了包括 Amazon FireTV 在内的多种设备。 最后,新的蠕虫Fbot与臭名昭著的
  • Hui Wang
    Hui Wang
6 min read
XMR CryptoCurrency

利用ngrok传播样本挖矿

概述 "链治百病,药不能停"。时下各种挖矿软件如雨后春笋层出不穷,想把他们都灭了,那是不可能的,这辈子都不可能的。通常我们都忽略他们。但这个利用ngrok生成大量随机域名作为Downloader和Report域名,对抗安全设施阻断其域名,隐藏真实服务器地址的挖矿恶意样本成功的引起了我们的注意。 该恶意样本的主要特点是: * 使用ngrok定期更换的随机域名作为Downloader和Report域名。 * 利用redis,docker,jenkins,drupal,modx,CouchDB漏洞植入xmr挖矿程序挖矿。 * 企图扫描以太坊客户端,盗取以太币,当前未实际启用。 * 企图感染目标设备上的js文件,植入CoinHive挖矿脚本浏览器挖矿。 * 动态生成挖矿脚本和扫描脚本。 * 该挖矿样本主要模块由Scanner脚本,Miner脚本,Loader构成。Scanner模
  • Hui Wang
    Hui Wang
6 min read
MikroTik

窃听风云: 你的MikroTik路由器正在被监听

背景介绍 MikroTik是一家拉脱维亚公司,成立于1996年,致力于开发路由器和无线ISP系统。MikroTik现在为世界上大多数国家/地区的互联网连接提供硬件和软件。在1997年,MikroTik创建了RouterOS软件系统,在2002年,MikroTik决定制造自己的硬件并创建了RouterBOARD品牌,每个RouterBOARD设备都运行RouterOS软件系统。[1] 根据维基解密披露的CIA Vault7黑客工具Chimay Red涉及到2个漏洞利用,其中包括Winbox任意目录文件读取(CVE-2018-14847)和Webfig远程代码执行漏洞。[2] Winbox是一个Windows GUI应用程序,Webfig是一个Web应用程序,两者都是RouterOS一个组件并被设计为路由器管理系统。Winbox和Webfig与RouterOS的网络通信分别在TCP/8291端口上,TCP/80或TCP/8080等端口上。[3] [4] 通过360Netlab Anglerfish蜜罐系统,我们观察到恶意软件正在利用MikroTik CVE-2018-148
  • Genshen Ye
    Genshen Ye
8 min read
Import 2022-11-30 11:16

威胁快讯:DDG 3013 版本

DDG 是一个专注于扫描控制 SSH 、 Redis数据库 和 OrientDB数据库 服务器,并攫取服务器算力挖矿(门罗币)的僵尸网络。我们在2017年10月25日首次感知到 DDG僵尸网络,并在随后发布了多份报告。最近的一篇 报告 发布于 2018-06,当时 DDG 的版本更新到 3012。 今晨,我们注意到 DDG 更新到版本 3013。 IoC C2 149.56.106.215:8000 Canada/CA Pierrefonds "AS16276 OVH SAS" 下载URL hxxp://149.56.106.215:8000/i.sh
  • JiaYu
1 min read
Botnet

恶意代码团伙luoxk正在积极利用 CVE-2018-2893 传播

文章作者:Zhang Zaifeng, yegenshen, RootKiter, JiaYu 7月18日,Oracle在官方发布的例行补丁更新中修复了CVE-2018-2893,一个Oracle WebLogic Server 远程代码执行漏洞。一般认为漏洞影响严重且相关PoC已经公开,建议相关用户尽快进行评估升级。 三天后,2018-07-21 11:24:31 开始,我们注意到一个长久以来我们跟踪的恶意代码团伙正在积极利用该漏洞传播自身。由于该团伙经常使用 luoxkexp[.]com ,我们将其命名为 luoxk 。 该恶意代码团伙第一次触发我们的警铃是在一年前的2017年3月17日,我们的DNSMon系统,在该恶意代码团伙域名注册后的第二天根据算法自动判断该域名异常。 在那以后,我们持续观察了该恶意代码团伙的行为,包括: * DDoS攻击:使用DSL4(Nitol)恶意代码,对应的C2 luoxkexp.com * 挖矿:挖矿使用的钱包地址是 48WDQHCe5aRDeHv1DkkdwQiPRQSqYw2DqEic7MZ47iJVVTeQ1aknD
  • Zhang Zaifeng
    Zhang Zaifeng
5 min read
Import 2022-11-30 11:16

僵尸永远不死,DDG拒绝凋零

DDG 是一个专注于扫描控制 SSH 、 Redis数据库 和 OrientDB数据库 服务器,并攫取服务器算力挖矿(门罗币)的僵尸网络。我们在2017年10月25日首次感知到 DDG僵尸网络,并在随后展开了持续的分析和跟踪。在这期间,我们注意到该僵尸网络有两个内部保留域名尚未注册,我们抢注了这两个域名,并利用到这两个域名的流量精确记录了该僵尸网络感染的 4,391 个IP地址。在那段时间中,DDG 的主要流行版本是 2020、2021。以上内容详细记录在我们 2018年2月发布的 报告中。 有些僵尸网络的作者,会在我们发布分析报告之后悄然离去,比如 http81(persirai),但是 ddg 的作者选择留在场上。 DDG首份报告发布后3个月,2018年5月,我们意识到 DDG 有更新。这一次卷土重来,DDG更换了其主控IP地址,以期逃避安全研究员的跟踪。不过我们依旧定位到了 DDG 的两个新版本 3010和3011,并监控到作者对 3011
  • JiaYu
4 min read
Botnet

HNS Botnet 最近活动更新

作者:Rootkiter, yegenshen HNS 僵尸网络(Hide and Seek) 是最初由 BitDefender 于今年 1月 报告 的一个IoT僵尸网络。在那份报告中研究人员指出,HNS 会利用CVE-2016-10401、其他漏洞以及Telnet弱口令投入恶意代码,有执行任意指令和盗取用户信息的恶意行为,传播方式类似蠕虫,感染规模在1月23日至1月24期间快速增长到超过32k。并且,HNS内部通过P2P 机制通信,这是我们所知继 hajime之后第二个利用P2P通信的IoT僵尸网络。 P2P类的僵尸网络很难被根除,HNS 僵尸网络也是如此。在过去的几个月中 HNS 僵尸网络一直在持续更新,我们看到其更新活动包括: * 增加了对 AVTECH全部设备(网络摄像头、网络录像设备)、CISCO Linksys路由器、JAWS/1.0 Web服务器、Apache CouchDB、OrientDB的漏洞利用;加上原始报告中提到的2种,目前HNS已经支持7种漏洞利用方式; * 内置的P2P节点地址增加到了171 条;
  • RootKiter
    RootKiter
5 min read
Botnet

威胁快讯:一次僵尸挖矿威胁分析

友商发布了一个威胁分析 报告,我们阐述一下从我们的角度看到的情况。 核心样本 hxxp://120.55.54.65/a7 核心样本是个 Linux Shell 文件,后续动作均由该样本完成,包括: * 挖矿获利 * 确保资源 * 逃避检测 * 横向扩展 挖矿获利 具体的挖矿动作是由下面一组样本完成的: * hxxps://www.aybc.so/ubuntu.tar.gz * hxxps://www.aybc.so/debian.tar.gz * hxxps://www.aybc.so/cent.tar.gz 样本中的挖矿配置如下: * 矿池地址:xmr-asia1.nanopool.org:14433 * 钱包地址:
  • RootKiter
    RootKiter
2 min read