Import 2022-11-30 11:16 - 360 Netlab Blog - Network Security Research Lab at 360 (Page 9)

Import 2022-11-30 11:16

A collection of 250 posts

是谁悄悄偷走我的电（三）：某在线广告网络公司案例分析

我们最近注意到，某在线网络广告商会将来自 coinhive 的javascript网页挖矿程序，插入到自己广告平台中，利用最终用户的浏览器算力，挖取比特币获利。 P公司是一家在线广告网络公司，负责完成广告和广告位之间的匹配，并从中获取收入；Adblock 是一种浏览器插件，用户可以利用来屏蔽广告。显然，上述两者之间有长久的利益冲突和技术对抗。在2017-09之前，我们就注意到 P公司会利用类似 DGA 的技术，生成一组看似随机的域名，绕过 adblock，从而保证其投放的广告能够到达最终用户，我们将这组域名称为 DGA.popad。从2017-12开始，我们观察到P公司开始利用这些 DGA.popad 域名，插入挖矿代码牟利。广告网络公司与广告屏蔽插件之间的对抗并不是新鲜事，但是广告网络公司参与到眼下流行的网页挖矿，这值得引起我们的注意。 P公司背景简介 P公司是一家在线广告网络（adnetwork）公司。所谓在线网络公司，其主要工作是连接广告主（advertiser）和媒体（publisher），聚合publisher提供的广告位，并与广告主的需求进行

是谁悄悄偷走我的电（二）：那些利用主页挖取比特币的网站

我们在早先的文章中提到，大约有 0.2% 的网站在使用主页中嵌入的JS代码挖矿： - Alexa 头部 10万网站中，有 241 (0.24%)个 - Alexa 头部 30万网站中，有 629 (0.21%)个我们决定还是公开文中提到的全部站点列表，这样读者可以采取更多的行动。我们的 DNSMon 在2018-02-08 生成的列表，其格式如下： Alexa_Rank Website Related-Coin-Mining-Domain/URL 1503 mejortorrent.com |coinhive.com 1613 baytpbportal.fi |coinhive.com 3096 shareae.com

The List of Top Alexa Websites With Web-Mining Code Embedded on Their Homepage

On our previous blog, we mentioned over 0.2% websites have web mining code embedded in their homepage: 241 (0.24%) out of Alexa Top 100,000 websites, and 629 (0.21%) out of Alexa Top 300,000 websites. And after some discussion, we figured it makes sense to release

Who is Stealing My Power: Web Mining Domains Measurement via DNSMon

At 360Netlab, we are continuously analyzing DNS traffic. Based on this, we have established a DNSMon detection system that analyzes various anomalies and correlations in DNS traffic. We reported a few web mining sites such as openload.co in previous article. After that, we try to use DNSMon to further

是谁悄悄偷走我的电（一）：利用DNSMon批量发现被挂挖矿代码的域名

在360网络安全研究院，我们持续的分析海量的DNS流量。基于此，我们建立了 DNSMon 检测系统，能够对 DNS 流量中的各种异常和关联关系予以分析。在之前的文章中，我们提到了 openload.co 等网站利用Web页面挖矿的情况。在那之后，我们进一步利用 DNSMon 对整个互联网上网页挖矿进行分析，本文描述我们目前看到情况。当前我们可以看到： * 0.2% 的网站在首页嵌入了Web挖矿代码：Alexa Top 10万的网站中，有 241 (0.24%) ； Alexa Top 30万的网站中，有 629 (0.21%) * 色情相关网站是主体，占据了这些网站的49%。其它还有诈骗（8%）、广告（7%）、挖矿（7%）、影视（6%）等类别

ADB.Miner: More Information

This blog is a joint effort of 360 Beaconlab, 360 CERT, 360 MobileSafe, 360Netlab and 360 Threat Intelligence Center. Overview About 48 hours ago, we reported an Android worm ADB.miner in our previous blog. This malware can replicate itself over Android devices by utilizing the opened ADB debugging interface.

ADB.Miner 安卓蠕虫的更多信息

本篇技术分析，由360手机卫士，360威胁情报中心，360烽火实验室，360-CERT，360网络安全研究院联合发布。综述大约48小时之前，我们发布文章报告了ADB.Miner，一种新型的安卓蠕虫。该蠕虫可以借助安卓设备上已经打开的 adb 调试接口传播，且初期传播的增速很快，约每12小时翻一番。在过去的48小时内，我们对 ADB.Miner 做更进一步的分析，目前的结论如下，供安全社区参考： 1. 当前感染量已经稳定：日活感染量在增长到7千(2018-02-05 15:00 GMT+8)后不再快速增长。这个数字已经保持稳定了超过 20 小时，可以认为蠕虫已经经过了爆发期，进入稳定期。 2. 确认电视盒子被感染：确认被感染的都是安卓设备。进一步分析能够确认部分设备是电视盒子，其他设备不能认定是何种设备，也不能确认是安卓手机 3. 对样本的分析，排除了样本从远程开启 adb 调试接口的可能。

ADB.Miner：恶意代码正在利用开放了ADB 接口的安卓设备挖矿

作者：Hui Wang, RootKiter, twitter/360Netlab 大约24小时前，从 2018-02-03 15:00 开始，一组恶意代码开始蠕虫式快速传播，我们分析了这个安全威胁，一些快速的结果如下： * 传播时间：最早的感染时间可以回溯到 1月31日附近。当前这波蠕虫式感染从 2018-02-03 下午 15：00 附近开始被我们的系统检测到，目前仍在持续增长。 * 感染端口：5555，是安卓设备上 adb 调试接口的工作端口，这个端口正常应该被关闭，但未知原因导致部分设备错误的打开了该端口 * 蠕虫式感染：恶意代码在完成植入后，会继续扫描 5555 adb 端口，完成自身的传播 * 感染设备型号：目前能够确认的设备型号见后，大部分是智能手机，以及智能电视机顶盒 * 感染设备数量：2.75 ~ 5k，主要分布在中国（~40%）和韩国（

Botnet Featured

Early Warning: ADB.Miner A Mining Botnet Utilizing Android ADB Is Now Rapidly Spreading

Author：Hui Wang, RootKiter, twitter/360Netlab About 24 hours ago, around 2018-02-03 15:00(GMT +8), a set of malicious code began to spread rapidly, here are some quick facts: * Timeline : the earliest time of the infection can be traced back to January 31. And the current worm-like infection was

Import 2022-11-30 11:16

DDG.Mining.Botnet：一个瞄准数据库服务器的挖矿僵尸网络

从 2017-10-25 开始，我们监控到有恶意代码在大规模扫描互联网上的 OrientDB 数据库服务器。进一步的分析发现，这是一个长期运营的僵尸网络，其主要目标是挖取门罗币（XMR，Monero CryptoCurrency）。我们将其命名为 DDG 挖矿僵尸网络（DDG Mining Botnet，以下简称 DDG），主要原因是因为其核心功能模块的名称为 DDG。 DDG 累积挖取的门罗币数目较大。目前我们能够确认该僵尸网络累积挖取的已经超过 3,395枚门罗币，按当前价格折合人民币￥5,821,657 。另外因为矿池记账系统的问题，有2,428枚 XMR不能完全确认是否归属 DDG，按当前价格折合人民币￥4,163,179。DDG 是目前我们视野范围内门罗币收益第二大的僵尸网络，第一大的是我们之前报告的 MyKings 僵尸网络。 DDG 的结构上，除了僵尸网络中常见的 C2 和

Import 2022-11-30 11:16

DDG: A Mining Botnet Aiming at Database Servers

Starting 2017-10-25, we noticed there was a large scale ongoing scan targeting the OrientDB databases. Further analysis found that this is a long-running botnet whose main goal is to mine Monero CryptoCurrency. We name it DDG.Mining.Botnet after its core function module name DDG. Currently we are able to

TheMoon : 一个僵尸网络的老皇历和新变种

TheMoon 是一个恶意代码家族的代号。早在2014年2月，该恶意代码家族就引起了安全研究人员的普遍关注。在当时，TheMoon是一个针对 Linksys 路由器的、有类似蠕虫式传播行为的僵尸网络。由于其感染传播能力较强，安全社区里的讨论较多。 2014～2017年期间，又陆续有各安全厂商对TheMoon恶意代码家族做了分析。报告反应了当时 TheMoon 家族的演化情况。从2017年开始，我们也对 TheMoon 家族做了持续跟踪，并注意到以下的新发现： * 感染阶段： TheMoon 集成了最近的一组漏洞利用代码，提高其感染能力； * 运营阶段： TheMoon 的代理网络，由正向代理改为反向代理，避免被安全研究人员探测度量； * 样本特征： TheMoon 开始使用压缩外壳，提高安全研究人员分析的难度下文仅仅是我们对 TheMoon 恶意代码家族监控结果的概括描述，详细的技术分析文档可见 TheMoon-botnet.pdf 2017年以前的 TheMoon 2014-02-13 ，这是我们能查到的 TheMoon 相关最早记录。当时，SANS

MyKings: 一个大规模多重僵尸网络

【更新记录】 2018-01-24 原始文档首次公开，原先基于新浪blog的所有上联通道均已切断 2018-01-29 12:00 MyKings的上联通道开始使用新的blog url http://test886.hatenablog.com/entry/2018/01/26/002449，我们通过 https://twitter.com/360Netlab 发布了这一消息 2018-01-29 15:00 我们注意到上述 BLOG URL 已经被封 2018-01-29 05:00 https://twitter.com/ninoseki 告知，上述被封动作是 hantena 博客安全团队处理的。以下是原始文章作者 netlab.360.com MyKings 是一个由多个子僵尸网络构成的多重僵尸网络，2017

偷盗的艺术: Satori 变种正在通过替换钱包地址盗取 ETH 数字代币

在我们2017年12月5日发布的关于Satori的文章中，我们提到Satori僵尸网络正在以前所未有的速度快速传播。自从我们的文章发布以后，安全社区、ISP、供应链厂商共同协作，Satori 的控制端服务器被 sinkhole、ISP和供应链厂商采取了行动，Satori的蔓延趋势得到了暂时遏制，但是Satori的威胁依然存在。从 2018-01-08 10:42:06 GMT+8 开始，我们检测到 Satori 的后继变种正在端口37215和52869上重新建立整个僵尸网络。值得注意的是，新变种开始渗透互联网上现存其他Claymore Miner挖矿设备，通过攻击其3333 管理端口，替换钱包地址，并最终攫取受害挖矿设备的算力和对应的 ETH 代币。我们将这个变种命名为 Satori.Coin.Robber。这是我们第一次见到僵尸网络替换其他挖矿设备的钱包。这给对抗恶意代码带来了一个新问题：即使安全社区后续接管了 Satori.Coin.Robber 的上联控制服务器，那些已经被篡改了钱包地址的挖矿设备，仍将持续为其贡献算力和 ETH 代币。到

Art of Steal: Satori Variant is Robbing ETH BitCoin by Replacing Wallet Address

The security community was moving very fast to take actions and sinkhole the Satori botnet C2 after our December 5 blog. The spread of this new botnet has been temporarily halted, but the threat still remains. Starting from 2018-01-08 10:42:06 GMT+8, we noticed that one Satori’s

Openload.co and Other Popular Alex Sites Are Abusing Client Browsers to Mining Cryptocurrency

As of December 24, 2017, we noticed a group of Alex top websites abusing client browser's computing power in cryptocurrency mining. The javascript code is based on CoinHive with tricks to completely circumvent CoinHive's own operations to avoid CoinHive's commission fee. A total of

openload.co 等网站绕过 CoinHive 使用客户端浏览器算力挖取门罗币

从2017年12月24日，我们注意到一组网站正在滥用客户终端浏览器的算力在挖矿。攻击者在利用了 CoinHive 的浏览器端挖矿代码基础上，完全绕过 CoinHive 自己运营，避开了 CoinHive 的抽成费用。提供挖矿服务的域名成组出现，共计22个，最早活动时间是2017-11-29。涉及使用上述挖矿服务的网站，包括openload.co，oload.stream，thevideo.me，streamcherry.com，streamango.com。其中，openload.co 网站的Alex排名为136，流行程度非常高，这意味着全球范围内有较多的终端用户算力会被攻击者攫取。 5个异常域名 dnsmon 是我们的dns异常检测系统。在2017-12-24日，系统报告了一组域名的访问异常，这组域名和对应的访问曲线如下： do69ifsly4.me hzsod71wov.me kho3au7l4z.me npdaqy6x1j.me vg02h8z1ul.me 上图中可以注意到域名访问曲线惊人的一致，这意味着不同域名之间，很可能被同源的流量驱动。

安全威胁预警：Mirai变种Satori正在端口 37215 和 52869 上类似蠕虫式传播

作者：360网络安全研究院 [更新记录] - 2017-12-05 18:56:40 UTC，在我们的博客发出2个小时后，我们观察到C2服务器开始向bot发送停止扫描的指令，与此同时我们看到大网上这两个端口的流量开始下降。 - 文中提到的C2地址 95.211.123.69:7654 ，实际是 95.211.123.69:7645 的笔误。在我们之前的blog中，我们提及有大约10万个来自阿根廷的独立扫描IP正在扫描端口2323和23，并且确定这是一个新的mirai变种。在过去的几天中，扫描行为变得愈发严重，更多的国家出现在我们的ScanMon平台上。仔细分析后我们看到了更多的部分，意识到之前2323/23端口上的扫描还只是巨大拼图的一小部分。就在我们继续深入分析的时候，我们的注意到一个新的情况出现，值得引起安全社区立即注意。下面是对这个情况非常简短和粗糙的说明。大约从今天中午 (2017-12-05 11:57 AM)开始，我们注意到Satori（一个mirai变种）的新版本正在端口37215和52869上非常快速的传播。这个新变种有两个地方与以往mirai有显

Warning: Satori, a Mirai Branch Is Spreading in Worm Style on Port 37215 and 52869

Author: 360 netlab [Update History] - At 2017-12-05 18:56:40 UTC, 2 hours after our blog goes live, we observed the C2 sending kill scan command to the bots, and that explains why the scan activities on the two ports started to drop on a global scale. - The

安全威胁早期预警：新的mirai僵尸网络变种正在端口23和2323上积极传播

【2017-11-28 更新】 * 原文中提到的两个C2均已被安全社区sinkhole。 * 原文中的 admin/CentryL1nk 是 admin/CenturyL1nk 的笔误。大约60个小时以前，从2017-11-22 11:00开始，360网络安全研究院注意到在端口2323和23上的扫描流量有一个暴涨现象。其中主要扫描者，大约10万个扫描IP地址位于阿根廷，同时360网络安全研究院也注意到大约有5千个IP地址来自国内。分析以后，目前比较确定这是一个新的mirai变种。根因分析在我们蜜罐中，最近有两个新的用户名密码被频繁使用到，分别是 admin/CentryL1nk 和 admin/QwestM0dem 。值得一提，admin/CentryL1nk 这对用户名密码是针对ZyXEL PK5001Z 调制解调器的，在一份上月底的利用中被批露。上述两个用户名密码对，被滥用的初始时间在2017-11-22 11:00附近，在2017-11-23 日间达到顶峰。这个时间曲线与我们在Scanmon上观察到2323/23端口的扫描曲线比较一致。另外

Early Warning: A New Mirai Variant is Spreading Quickly on Port 23 and 2323

[Updates on 2017-11-28] * Both C2s have been sink-holed now by security community. * admin/CentryL1nk is a typo for admin/CenturyL1nk. About 60 hours ago, since 2017-11-22 11:00, we noticed big upticks on port 2323 and 23 scan traffic, with almost 100k unique scanner IP came from Argentina. After investigation,

CLDAP反射放大攻击超过SSDP和CharGen成为第三大反射型DDoS攻击

作者：Xu Yang，kenshin 利用DDoSMon.net，我们实时并持续的监控全球DDoS攻击相关事件。长期以来，DDoS攻击的反射放大细分类型中，DNS、NTP、CharGen、SSDP是最经常被滥用的服务，过去一年中的排位依次是第1、2、3、4位。近期我们注意到，基于CLDAP的反射放大攻击（以下称为CLDAP攻击）已经超过SSDP和CharGEN成为第三大反射型DDoS攻击。CLDAP攻击在过去365天和90天在反射放大类DDoS攻击中占据比例，对比如下图：数据来源：DDoSMon。网站上Insight页面的内容可以覆盖本次blog中的大部分数据。 CLDAP攻击首次出现是在去年10月底，到现在恰好一年。本篇blog中，我们对CLDAP攻击上升情况做一个回顾： * 在过去的一年中，我们累积观察到304,146次CLDAP反射放大攻击，涉及215,229 个独立IP，或者说受害者。CLDAP早已经成为现实存在的DDoS攻击威胁。 * 值得注意的是，最近两三个月以来，CLDAP攻击发展进入新的阶段。在我们的监测范围内，过去三个月内CLDA

CLDAP is Now the No.3 Reflection Amplified DDoS Attack Vector, Surpassing SSDP and CharGen

Author: Xu Yang，kenshin With our DDoSMon, we are able to perform continuous and near real-time monitoring on global DDoS attacks. For quite a long time, DNS, NTP, CharGen and SSDP have been the most frequently abused services in DDoS reflection amplification attacks. They rank respectively 1st, 2nd, 3rd and

IoT_reaper: A Few Updates

Here is a quick follow up post regarding to our initial blog. IoT_reaper Sample History The historical delivery of the IoT_reaper samples we observed through our honeypot are as follow: It is noticeable that most malicious samples for IoT_reaper are located at the following URL: * Downloading URL:

IoT_reaper 情况更新

在周五晚上披露了IoT_reaper之后，我们收到了来自安全社区和各方很多问题。这里给出一个快速的更新，以澄清各方可能的疑问。 IoT_reaper样本投递历史情况我们通过蜜罐观察到的 IoT_reaper 样本历史投递情况如下：可以看出，IoT_reaper 最主要传播的恶意代码位于下面这个URL上： * 下载地址：hxxp://162.211.183.192/sa * 投递者：119.82.26.157 * 起止时间：10-04～10-17 * 样本md5：7 个,详细见文末IoC 这个URL上的样本之间内聚关系比较强，我们称为S簇。后来进一步的分析，认为S簇还包括其他一些样本；而在S簇之外，还有一个LUA簇，以及其他更小一些的未知簇。 S簇的样本构成我们认为S簇包含下面这些URL上的样本： * hxxp://162.211.183.192/sa * hxxp: