Import 2022-11-30 11:16 - 360 Netlab Blog - Network Security Research Lab at 360 (Page 8)

Import 2022-11-30 11:16

A collection of 250 posts

Botnets never Die, Satori REFUSES to Fade Away

Two days ago, on 2018-06-14, we noticed that an updated Satori botnet began to perform network wide scan looking for uc-httpd 1.0.0 devices. Most likely for the vulnerability of XiongMai uc-httpd 1.0.0 (CVE-2018-10088). The scanning activities led to a surge in scanning traffic on ports 80

僵尸永远不死，Satori也拒绝凋零

两天前，2018-06-14，我们注意到 Satori 的作者开始扫描收集 uc-httpd 1.0.0 设备的IP地址列表。这或许是为了针对4月公开的脆弱性 XiongMai uc-httpd 1.0.0 (CVE-2018-10088) 在做准备。这些扫描活动导致了近期在 80 和 8000 端口上的扫描流量大涨。 3小时前，就在我们撰写本篇文章的同时，Satori 作者又发布了一个更新版本。这个更新是个蠕虫，针对 D-Link DSL-2750B 设备，对应的漏洞利用在5月25日刚刚公开。僵尸永远不死 Satori 是 Mirai 僵尸网络的一个变种，我们首次注意到该僵尸网络是 2017-11-22。一周之后，2017-12-05，Satori在12小时内感染了超过26万家用路由器设备，成为臭名昭著的僵尸网络。从那以后我们不再使用“一个mirai僵尸网络变种”称呼它，而是给予了它一个独立的名字 Satori。

Import 2022-11-30 11:16

DDG.Mining.Botnet 近期活动分析

UPDATE(2018.6.13) 6.12 日，我们监测到 DDG.Mining.Botnet 又发布了新版本，最新版本为 v3012 ，更新概要如下： * 更换主 C2 为 69.64.32.12:8000 ； * 修改用来持久驻留的 i.sh 脚本； * 更新备用 C2 IP 列表； * 云端配置文件的结构、编码方式没有变化，只是里面涉及 C2 的内容指向最新的 C2； * 矿机程序、矿池 Proxy以及 XMR Wallet 均未变化，Wallet 地址： 42d4D8pASAWghyTmUS8a9yZyErA4WB18TJ6Xd2rZt9HBio2aPmAAVpHcPM8yoDEYD9Fy7eRvPJhR7SKFyTaFbSYCNZ2t3ik在矿池 supportxmr.com 中 TotalPaid

GPON Exploit in the Wild (IV) - TheMoon Botnet Join in with a 0day(?)

This article was co-authored by Hui Wang, Rootkiter and Yegenshen. It looks like this GPON party will never end. We just found TheMoon botnet has join the party. TheMoon botnet has been discussed in our previous article, in Chinese. Its activity can be seen as early as in 2014, and

GPON Exploit in the Wild (III) - Mettle, Hajime, Mirai, Omni, Imgay

This article was co-authored by Hui Wang, LIU Ya, Rootkiter and Yegenshen. In our previous articles I and II of this series, we mentioned that since the expose of the GPON vulnerabilities (CVE-2018-10561, CVE-2018-10562), there have been at least five botnet families actively exploiting this vulnerability to build their bot

GPON 漏洞的在野利用（三）——Mettle、Hajime、Mirai、Omni、Imgay、TheMoon

本文由 Hui Wang、LIU Ya、RootKiter、yegenshen 共同撰写。 [更新 2018-05-21 17：30] 这场GPON的聚会看起来永远不会结束了，现在 TheMoon 僵尸网络家族也开始加入了。文中增加了相关的描述。特别值得说明的，TheMoon僵尸网络所使用的攻击漏洞此前并没有批露过，看起来像是个 0day，我们选择不公开攻击载荷的详细内容。另外我们选择了两个版本的 GPON 家用路由器，TheMoon使用的攻击载荷均能成功运行。我们在之前的系列文章一和二里提及，在本次GPON漏洞（CVE-2018-10561，CVE-2018-10562）公布以来，10天内已经有至少5个僵尸网络家族在积极利用该漏洞构建其僵尸军团，包括 mettle、muhstik、mirai、hajime、satori，等等。这些各路僵尸网络一拥而上，争抢地盘，w为 IoT 僵尸网络研究者们提供了一个绝佳的近距离观察机会。在我们的观察中，一个有趣的地方是各僵尸网络的漏洞利用代码均只能影响一小部分（

GPON Exploit in the Wild (II) - Satori Botnet

This article was co-authored by Rootkiter, Yegenshen, and Hui Wang. In our previous article, we mentioned since this GPON Vulnerability (CVE-2018-10561, CVE-2018-10562 ) announced, there have been at least five botnets family mettle, muhstik, mirai, hajime, satori actively exploit the vulnerability to build their zombie army in just 10 days. We

GPON 漏洞的在野利用（二）——Satori 僵尸网络

本篇文章由 Rootkiter，yegenshen，Hui Wang 共同撰写。我们在之前的文章里提及，在本次GPON漏洞（CVE-2018-10561，CVE-2018-10562）公布以来，10天内已经有至少5个僵尸网络家族在积极利用该漏洞构建其僵尸军团，包括 mettle、muhstik、mirai、hajime、satori等等。在上一篇文章里，我们详细介绍了 muhstik 僵尸网络的情况。在那篇文章发布的前后，通过与安全社区共同的努力，我们累积关闭了muhstik僵尸网络在 OVH 上的12 个IP地址，以及在微软网络上的 1 个IP地址。详细的IP地址列表，见附件 IoC部分。【更新：值得一提的是，当前绝大部分这些僵尸网络的漏洞利用部分效果是有问题的。根据我们的估计，只有大约2%的特定版本GPON家用路由器受到这些僵尸网络的影响，绝大部分位于墨西哥。这时由于这些僵尸网络使用PoC的方式造成的。】其他的僵尸网络包括： * Satori：satori是臭名昭著的mirai僵尸网络变种，该恶意代码团伙在2018-05-10 05:51:

GPON 漏洞的在野利用（一）——muhstik 僵尸网络

自从本次GPON漏洞公布以来，10天内已经有至少5个僵尸网络家族在积极利用该漏洞构建其僵尸军团，包括 mettle、muhstik、mirai、hajime、satori。时间之短、参与者之多，在以往IoT僵尸网络发展中并不多见。幸运的是，当前包括muhstik、mirai、hajime、satori在内的其中大部分僵尸网络的攻击载荷经测试实现有问题，并不能真正植入恶意代码；mettle 虽然能够植入恶意代码，但C2服务器短暂出现后下线了。无论如何，由于这些恶意代码团伙在积极更新，我们仍应对他们的行为保持警惕。 muhstik 僵尸网络由我们首次批露（报告-2018-04 ）。本次 muhstik 的更新中增加了针对包括 GPON 在内三个漏洞的利用。本轮更新后 muhstik共有 10 种漏洞检测模块。到北京时间5月9日，我们联合安全社区关闭了部分服务器，部分减缓了 muhstik 的扩张速度。然而 muhstik 扩张的脚步并未停止，在2018-05-10 10:30 GMT+8，我们观察到它启用了 165.

GPON Exploit in the Wild (I) - Muhstik Botnet Among Others

On May 1st, VPN Mentor disclosed two vulnerabilities against GPON home router. Since then, at least 5 botnet families have been actively exploiting the vulnerability to build their zombie corps, including mettle, muhstik, mirai, hajime and satori. It is the first time we have seen so many botnets competing for

Botnet Muhstik is Actively Exploiting Drupal CVE-2018-7600 in a Worm Style

On March 28, 2018, drupal released a patch for CVE-2018-7600. Drupal is an open-source content management system written in PHP, quite popular in many sites to provide web service. This vulnerability exists in multiple drupal versions, which may be exploited by an attacker to take full control of the target.

僵尸网络 Muhstik 正在积极利用 Drupal 漏洞 CVE-2018-7600 蠕虫式传播

2018年3月28日，Drupal.org 公布了漏洞 CVE-2018-7600 的修复方案。Drapal 是一个开源的内容管理系统，由PHP语言写成，有很多网站使用 Drupal 向外提供网页服务。本次漏洞存在于 Drupal 的多个版本中，攻击者可以利用该漏洞完全控制网站。从2018年4月13日开始，360网络安全研究院观测到互联网上有大量针对该漏洞的扫描。通过分析，我们认为有至少3组恶意软件在利用该漏洞传播。其中一组恶意软件有蠕虫传播行为，感染量显著比其他的恶意软件更多。分析后，我们认为这是一个长期存在的僵尸网络家族。我们将其命名为 muhstik，这主要是因为其二进制文件名和通信协议中多处包含了这个字符串。我们认为 muhstik 有以下特点值得社区关注： * 蠕虫式传播 * 长期存在 * 使用的漏洞利用数目众多 * 混合使用了多种牟利方式攻击载荷按照时间顺序，Muhstik使用了下面两组攻击载荷，这两组载荷占据了全部看到的载荷的80%左右，是我们看到的攻击的主要部分： * 活跃时间：2018-04-14 03:33:06~ 2018

RSA大会 '2018，360Netlab的威胁情报服务

RSA大会'2018 即将在4月16日至19日期间在美国旧金山Moscone中心举办。在今年的这次大会上，360Netlab将首次集中展示威胁情报服务能力。您可以在这里观看介绍视频，记得可能需要手动调到1080P。您也可以试用在线系统，包括 DDoSMon 和ScanMon 。 DDoSMon、ScanMon和DNSMon，是360Netlab本次展示威胁情报服务能力的三个主要组成部分。三者分别提供拒绝服务、网络扫描、域名异常的监控能力，应对全球网络流量实时处理。 * DNSMon是2018年新推出的能力。在DNSMon里面，我们实时的分析海量的DNS流量，并对流量中的各种异常和关联关系予以分析，从而发现大网流行的恶意代码行为。另一方面，DNSMon将我们指向未知威胁发现领域，我们期待在这个领域内作出更多成果。DNSMon相关已经公开的成功案例，包括之前公布的“偷电”系列分析文章。 * ScanMon早先在2016年ISC和2017 RSAC大会上两次公布。利用ScanMon，我们可以第一时间感知网络扫描行为，并方便有效的识别对应的攻击者。例如，360网络安全研究院在针

8291端口告警事件简报

结论本次8291扫描事件由更新后的Hajime僵尸网络引起，在新版本中，有两个新的特性： 1. 利用对8291端口的扫描来确定存在'Chimay Red' Stack Clash Remote Code Execution漏洞MikroTik设备。 2. 利用上述漏洞进行蠕虫传播。起因北京时间3月25日0点前后，互联网上8291端口出现大量扫描告警。下午2点左右，蜜罐数据显示该告警可能和 Hajime 有关，初步判断（UPX壳特有幻数+脱壳后样本特征）后，确认该样本为Hajime样本。并在其atk模块中发现了“'Chimay Red' Stack Clash Remote Code Execution”漏洞相关攻击代码。 https://www.exploit-db.com/exploits/44283/ 感染过程更新后的Hajime除已有传播方式外还可以通过利用“'Chimay

Quick summary about the Port 8291 scan

Quick summary about the Port 8291 scan

Summary This 8291 scan event is caused by a Hajime botnet variant. Compared to the old Hajime, this one adds two new features: 1. Check port 8291 to determine if the target is a MikroTik device 2. Use ‘Chimay Red’ Stack Clash Remote Code Execution Loophole vulnerabilities to infect and

威胁快讯：一个Redis.Miner

IoC 下载服务器 159.89.190.243 img.namunil.com cdn.namunil.com 下载URL hxxp://img.namunil.com/ash.php hxxp://img.namunil.com/bsh.php hxxp://img.namunil.com/rsh.php hxxp://cdn.namunil.com/ash.php hxxp://cdn.namunil.com/bsh.php hxxp://cdn.namunil.com/ins.php hxxp:

Import 2022-11-30 11:16

MsraMiner 被曝光后72小时内的更新

3月16日，我们文章中，提到了 MsraMiner，一个潜伏已久的挖矿僵尸网络。 DNSMon 在过去的72小时内，提示我们该僵尸网络有更新，如下： * 样本压缩包文件改名为 ProximityUntilCache32.tlb ，原来叫 MsraReportDataCache32.tlb * 矿机程序被重命名为 WUDHostServices.exe ，原来是 TrustedHostServices.exe * 样本里的 C2 Domain 被替换为 tsk.tknuv.com / err.tknuv.com / slo.tknuv.com ，原来是 ccc.njaavfxcgk3.club / rer.njaavfxcgk3.club / acs.njaavfxcgk3.club 新的矿池域名和挖矿账号如下，其中，jiovt.com 和

Import 2022-11-30 11:16

MsraMiner: 潜伏已久的挖矿僵尸网络

2017 年 11 月底，我们的 DNSMon 系统监测到几个疑似 DGA 产生的恶意域名活动有异常。经过我们深入分析，确认这背后是一个从 2017 年 5 月份运行至今的大型挖矿僵尸网络（Mining Botnet）。此僵尸网络最新的核心样本压缩包文件名为 MsraReportDataCache32.tlb ，我们将其命名为MsraMiner Botnet。该僵尸网络的特征包括： * 运行时间：2017 年 5 月份运行至今 * 传播方式：利用 NSA 武器库来感染，通过 SMB 445 端口传播蠕虫式传播：样本自带 Web Server提供自身恶意代码下载。样本扩散主要靠失陷主机之间的 Web Server 或 Socket 传输，同时提供了 C&C 端获取样本作为后备机制；

A Case Study: How One Big Player Could Impact the Cohive Business in China

"Who is Stealing My Power" is a series of articles on the topic of web mining that we observed from our DNSMon system. As we mentioned in this series of one, two, and three , the players in the market can be mainly divided into mining sites and content/

是谁悄悄偷走我的电（四）：国内大玩家对Coinhive影响的案例分析

《是谁悄悄偷走我的电》是我们的一个系列文章，讨论我们从 DNSMon 看到的网页挖矿的情况。在这个系列的之前的一、二和三中，我们已经介绍了整个Web挖矿的市场情况。当前我们知道，市场中的玩家主要可以分为挖矿网站和内容/流量网站，前者提供挖矿能力、后者提供流量，二者合力利用终端用户的浏览器算力挖矿获利。当前，挖矿网站中最大的玩家是 coinhive 家族，按照被引用数量计，占据了 58% 的市场份额。这些在我们之前的文章中已经提及。那么，流量网站的情况如何，有哪些有意思的情况？ Coinhive 的关联域名 DNSMon 有能力分析任意域名的关联域名，在这个案例中可以拿来分析 coinhive 家族关联的流量网站。通过分析这些流量网站的 DNS 流量，可以观察到很多有意思的事情。下面是一个域名访问规模图：在上图中: * 横轴：代表时间，从 2018-01-31到2018-02-15 * 纵轴：

Memcache UDP Reflection Amplification Attack II: The Targets, the Sources and Breakdowns

In less then ten days, Memcache DDoS attack has come out of nowhere and really captured lots of attentions within the security community. When we look at the news, we see all sort of reports but hardly can get a good idea what the real situation is, for example the

Memcache UDP 反射放大攻击 II: 最近的数据分析

我们在之前的文章中已经提及，Memcache DRDoS 自从被360 0kee team首次公开批露以来，在过去的9个月中在网络上都不活跃。但是最近十天以来，Memcache DRDoS 在现网中的攻击越来越频繁，所制造的攻击流量也在不断刷新，当前最新的公开记录已经到了 1.7Tbps 。关于这种攻击方式，目前还有很多问题等待回答。例如，到底已经有多少受害者、攻击中所使用的反射点到底有多少、实际发生的反射放大倍数是多少，等等。通过回答这些问题，我们可以充分描述当前总体态势，有助于安全社区理解这种新的DDoS攻击方式。为此我们在 Memcache DRDoS 在 DDoSMon 上建立了一个实时页面，展示我们看到的相关DDoS攻击情况，供安全社区参考。总体趋势上面两图展示了每天中发生的攻击事件次数。可以看出，从2018-02-24开始，这种攻击在几天内快速发展。我们暂且将时间划分为下面这些阶段： * ~ 2018-02-24 之前，每日平均小于 50 起攻击事件 * 第一阶段：02-24 ~ 02-28，

Memcache DDoS: A Little Bit More

This blog is a joint effort of 360 0kee Team, 360 CERT, and 360 Netlab. Memcache UDP Reflection Amplification DDoS (hereinafter referred as Memcache DRDoS) has attracted quite some attentions from security community this week. We are not going to repeat the public known facts, and this blog will only

Memcache UDP反射放大攻击技术分析

本篇技术blog，由360信息安全部0kee Team、360网络安全研究院、360-CERT共同发布。 Memcache UDP 反射放大攻击（以下简称 Memcache DRDoS）在最近的一周里吸引了安全社区的较多注意。以下介绍我们对该类型攻击观察到的情况。在PoC 2017 会议上的原始报告 Memcache DRDoS，由360信息安全部0kee Team在2017-06 附近首先发现，并于 2017-11 在 PoC 2017 会议上做了公开报告。会议报告在这里，其中详细介绍了攻击的原理和潜在危害。在这份文档中，作者指出这种攻击的特点： * memcache 放大倍数超高，至少可以超过50k； * memcache 服务器（案例中的反射点）数量较多，2017-11时估算全球约有 60k 服务器可以被利用，并且这些服务器往往拥有较高的带宽资源。基于以上特点，作者认为该攻击方式可以被利用来发起大规模的DDoS攻击，某些小型攻击团队也可能因此获得原先没有的大流量攻击能力。在 DDoSMon 上观察到的现网趋势自批露以来，

Who is Stealing My Power III: An Adnetwork Company Case Study

We recently noticed that one of the ad network provider started to perform in-browser coinhive cryptojacking when users visit websites which use this provider’s ad network service. As early as mid 2017, this ad network provider has been using domain DGA technology to generate seemingly random domains to bypass