Botnet

一个藏在我们身边的巨型僵尸网络 Pink

本文完成于2020年春节前后,为维护广大最终消费者的利益,一直处于保密期无法发表。近日 CNCERT 公开披露了相关事件,令本文有了公开契机。在保密期的这段时间里,Pink 也出现一些新的小变动,笔者筛选了其中一部分放到“新动向”章节,供其他同仁共同追踪研究。 概述 2019年11月21日,安全社区的信任伙伴给我们提供了一个全新的僵尸网络样本,相关样本中包含大量以 pink 为首的函数名,所以我们称之为 PinkBot。 Pinkbot 是我们六年以来观测到最大的僵尸网络,其攻击目标主要是 mips 光猫设备,在360Netlab的独立测量中,总感染量超过160万,其中 96% 位于中国。 PinkBot 具有很强的技术能力: 1. PinkBot 架构设计具备很好的健壮性,它能够通过多种方式(通过第三方服务分发配置信息/通过 P2P 方式分发配置信息/通过 CNC 分发配置信息)自发寻址控制端,并对控制端通信有完备的校验,确保僵尸节点不会因某一个环节的阻杀而丢失或被接管;甚至对光猫固件做了多处改动后,还能确保光猫能够正常使用;
  • 360Netlab
23 min read
DNSMon

DNSMon: 用DNS数据进行威胁发现

----发现skidmap的未知后门 更新记录 * [2020-12-07] 在本文发布之后不久,我们注意到该后门的访问模式有了一定的调整。并在最近DNSMon发现攻击者已经启用了新的域名IOC。具体来说有如下变化: 1. 将rctl子域名变更为 r1 2. 新启用了mylittlewhitebirds[.]com,howoldareyou9999[.]com(比原先的howoldareyou999[.]com多了一个字符'9'),franceeiffeltowerss[.]com(比原先的franceeiffeltowers[.]com多了一个字符's')三个域名作为后面的备用域名。 具体如下: r1.googleblockchaintechnology[.]com r1.howoldareyou9999[.]com r1-443.howoldareyou9999[.]com r1-443.franceeiffeltowerss[.]com
  • Zhang Zaifeng
    Zhang Zaifeng
  • RootKiter
    RootKiter
19 min read
DNSMon

360netlab上线域名IOC(威胁情报)评估标准及评估数据服务

版本一:程序员版 一直以来,由于高门槛,安全圈里对威胁情报质量没有一个很好的评估手段, PR狠的公司的威胁情报就更好么? 名头响的公司的威胁情报就更好么? 使用了机器学习人工智能这些热词的威胁情报就更好么? 拿了一堆排排坐吃果果的奖的公司的威胁情报就更好么? 难有人能给个说法,所以最后我们看到用户只能回到一个聊胜于无的方法,哪家的威胁情报的总数多哪家就好,出现的告警次数多哪家就好! 这个方法其实巨坑,举个?: A和B厂家提供两份威胁情报,A有10万条IOC,B有5万条IOC。 A的10万条IOC在实际网络中总命中IOC不到1000条,产生了20000次告警。 B的5万条IOC在实际网络中命中IOC15000条,也产生了20000次告警。 你愿意选择哪个? 那咋办? 经过一段时间的准备,我们推出来了个一个公益的评估标准,而且还免费提供大网的实际评估数据从而让客户有真实数据评估。 我们这么干是为啥? 是不是有啥阳谋,要怎么收数据之类的?(答案,没有,看看我们的正经页面就能懂) 另外我们很欢迎有经验的用户提供反馈修正等,对于采用的
  • Zhang Zaifeng
    Zhang Zaifeng
4 min read