Botnet

一个藏在我们身边的巨型僵尸网络 Pink

本文完成于2020年春节前后,为维护广大最终消费者的利益,一直处于保密期无法发表。近日 CNCERT 公开披露了相关事件,令本文有了公开契机。在保密期的这段时间里,Pink 也出现一些新的小变动,笔者筛选了其中一部分放到“新动向”章节,供其他同仁共同追踪研究。 概述 2019年11月21日,安全社区的信任伙伴给我们提供了一个全新的僵尸网络样本,相关样本中包含大量以 pink 为首的函数名,所以我们称之为 PinkBot。 Pinkbot 是我们六年以来观测到最大的僵尸网络,其攻击目标主要是 mips 光猫设备,在360Netlab的独立测量中,总感染量超过160万,其中 96% 位于中国。 PinkBot 具有很强的技术能力: 1. PinkBot 架构设计具备很好的健壮性,它能够通过多种方式(通过第三方服务分发配置信息/通过 P2P 方式分发配置信息/通过 CNC 分发配置信息)自发寻址控制端,并对控制端通信有完备的校验,确保僵尸节点不会因某一个环节的阻杀而丢失或被接管;甚至对光猫固件做了多处改动后,还能确保光猫能够正常使用;
  • 360Netlab
23 min read
Botnet

Linux.Ngioweb变种正在攻击IOT设备

背景介绍 2019年6月21日,我们向社区公布了一个新的Proxy Botnet,Linux.Ngioweb的分析报告。 2020年8月4日,360Netlab未知威胁检测系统捕获到一批VT零检测的疑似Ngioweb的ELF文件,经分析,我们确定它们属于同一个变种,简单地将其命名为Ngioweb V2。 2020年8月16日,360Netlab蜜罐系统发现攻击者陆续使用了9个Nday漏洞传播Ngioweb V2样本,涉及到x86(32/64), ARM(32/64), MIPS(MIPS32/MIPS-III) 以及 PPC,Hitachi SH,IBM S/390等CPU架构,标志着Ngioweb开始攻击IOT设备。同时支持众多的CPU架构,尝试众多Nday漏洞传播也彰显了其作者急欲扩张的企图。 2020年11月5日,友商IntezerLabs在VT上发现一个名为bins.october的压缩包,里面包含了多个编译器产生的50个Ngioweb样本,同样涉及全部的流行CPU架构。 基于Ngioweb长时间的活跃,VT上极低的检测率,以及开始攻击IOT设备等原因,我们
  • Alex.Turing
    Alex.Turing
  • Hui Wang
    Hui Wang
35 min read
DDoS

FBot 新进展

【更新:2019年12月4日】近期我们多次收到针对本blog的询问。我们决定将一些事实补充列出如下: ——Kenneth Crurrin Schuchman,绰号 Nexus-Zeta,一名21岁的年轻人,已经于2019年9月3日向美国阿拉斯加区域法庭认罪。Schuchman的认罪书表明,Schuchman及其同谋者通过感染大批设备,创建了一系列僵尸网络,包括 Satori,Okiru,Masuta,Tsunami,Fbot,并利用这些僵尸网络的DDoS破坏力牟利; ——本 Blog 中涉及到的脆弱性并非发生在 Hisilicon。通过后续分析以及安全社区交流,我们确认该脆弱性发生在华为海思的供应链下游厂商。为了保护最终客户的利益,我们决定不公开脆弱性细节、攻击者使用的载荷或者具体厂商名字; ——华为 PSIRT 对我们披露的安全事件,作出了负责任的响应; 读者在继续阅读本blog时,应当明确blog和样本中出现的 Hisilicon字样,源自Schuchman及其同谋者的错误判断。实际上整个IoT产业链条庞杂,其体量远超攻击者或者任何单一从业人员能够理解的范围。只有产业界
  • Genshen Ye
    Genshen Ye
  • Hui Wang
    Hui Wang
  • RootKiter
    RootKiter
8 min read
Botnet

TheMoon : 一个僵尸网络的老皇历和新变种

TheMoon 是一个恶意代码家族的代号。早在2014年2月,该恶意代码家族就引起了安全研究人员的普遍关注。在当时,TheMoon是一个针对 Linksys 路由器的、有类似蠕虫式传播行为的僵尸网络。由于其感染传播能力较强,安全社区里的讨论较多。 2014~2017年期间,又陆续有各安全厂商对TheMoon恶意代码家族做了分析。报告反应了当时 TheMoon 家族的演化情况。 从2017年开始,我们也对 TheMoon 家族做了持续跟踪,并注意到以下的新发现: * 感染阶段: TheMoon 集成了最近的一组漏洞利用代码,提高其感染能力; * 运营阶段: TheMoon 的代理网络,由正向代理改为反向代理,避免被安全研究人员探测度量; * 样本特征: TheMoon 开始使用压缩外壳,提高安全研究人员分析的难度 下文仅仅是我们对 TheMoon 恶意代码家族监控结果的概括描述,详细的技术分析文档可见 TheMoon-botnet.pdf 2017年以前的 TheMoon 2014-02-13 ,这是我们能查到的 TheMoon 相关最早记录。当时,SANS
  • RootKiter
    RootKiter
8 min read
IoT Botnet

安全威胁预警:Mirai变种Satori正在端口 37215 和 52869 上类似蠕虫式传播

作者:360网络安全研究院 [更新记录] - 2017-12-05 18:56:40 UTC,在我们的博客发出2个小时后,我们观察到C2服务器开始向bot发送停止扫描的指令,与此同时我们看到大网上这两个端口的流量开始下降。 - 文中提到的C2地址 95.211.123.69:7654 ,实际是 95.211.123.69:7645 的笔误。 在我们之前的blog中,我们提及有大约10万个来自阿根廷的独立扫描IP正在扫描端口2323和23,并且确定这是一个新的mirai变种。在过去的几天中,扫描行为变得愈发严重,更多的国家出现在我们的ScanMon平台上。仔细分析后我们看到了更多的部分,意识到之前2323/23端口上的扫描还只是巨大拼图的一小部分。就在我们继续深入分析的时候,我们的注意到一个新的情况出现,值得引起安全社区立即注意。下面是对这个情况非常简短和粗糙的说明。 大约从今天中午 (2017-12-05 11:57 AM)开始,我们注意到Satori(一个mirai变种)的新版本正在端口37215和52869上非常快速的传播。这个新变种有两个地方与以往mirai有显
  • Li Fengpei
    Li Fengpei
6 min read
IoT Botnet

安全威胁早期预警:新的mirai僵尸网络变种正在端口23和2323上积极传播

【2017-11-28 更新】 * 原文中提到的两个C2均已被安全社区sinkhole。 * 原文中的 admin/CentryL1nk 是 admin/CenturyL1nk 的笔误。 大约60个小时以前,从2017-11-22 11:00开始,360网络安全研究院注意到在端口2323和23上的扫描流量有一个暴涨现象。其中主要扫描者,大约10万个扫描IP地址位于阿根廷,同时360网络安全研究院也注意到大约有5千个IP地址来自国内。分析以后,目前比较确定这是一个新的mirai变种。 根因分析 在我们蜜罐中,最近有两个新的用户名密码被频繁使用到,分别是 admin/CentryL1nk 和 admin/QwestM0dem 。值得一提,admin/CentryL1nk 这对用户名密码是针对ZyXEL PK5001Z 调制解调器的,在一份上月底的利用 中被批露。 上述两个用户名密码对,被滥用的初始时间在2017-11-22 11:00附近,在2017-11-23 日间达到顶峰。这个时间曲线与我们在Scanmon上观察到2323/23端口的扫描曲线比较一致。 另外
  • Li Fengpei
    Li Fengpei
5 min read
IoT Botnet

IoT_reaper 情况更新

在周五晚上披露了IoT_reaper之后,我们收到了来自安全社区和各方很多问题。这里给出一个快速的更新,以澄清各方可能的疑问。 IoT_reaper样本投递历史情况 我们通过蜜罐观察到的 IoT_reaper 样本历史投递情况如下: 可以看出,IoT_reaper 最主要传播的恶意代码位于下面这个URL上: * 下载地址:hxxp://162.211.183.192/sa * 投递者:119.82.26.157 * 起止时间:10-04~10-17 * 样本md5:7 个,详细见文末IoC 这个URL上的样本之间内聚关系比较强,我们称为S簇。 后来进一步的分析,认为S簇还包括其他一些样本;而在S簇之外,还有一个LUA簇,以及其他更小一些的未知簇。 S簇的样本构成 我们认为S簇包含下面这些URL上的样本: * hxxp://162.211.183.192/sa * hxxp:
  • Genshen Ye
    Genshen Ye
6 min read
IoT Botnet

IoT_reaper : 一个正在快速扩张的新 IoT 僵尸网络

从2017-09-13 01:02:13开始,我们捕获到一个新的针对iot设备的恶意样本出现,在随后的这个一个多月时间里,这个新的IoT僵尸网络家族不断持续更新,开始在互联网上快速大规模的组建僵尸网络军团。 该僵尸网络脱胎于mirai,但是在诸多方面比mirai更进一步,特别是开始放弃弱口令猜测,完全转向利用IoT设备漏洞收割,成为IoT僵尸网络里的新兴玩家。我们将之命名为IoT_reaper。 IoT_reaper规模较大且正在积极扩张,例如最近的数据昨日(10月19日)在我们观察到的多个C2中,其中一个C2上活跃IP地址去重后已经有10k个,此外还有更多的易感设备信息已经被提交到后台,由一个自动的loader持续植入恶意代码、扩大僵尸网络规模。 所幸目前该僵尸网络还尚未发出植入恶意代码以外的其他攻击指令,这反映出该僵尸网络仍然处在早期扩张阶段。但是作者正在积极的修改代码,这值得我们警惕。 我们公开IoT_reaper的相关信息,希望安全社区、设备供应商、政府能够采取共同行动,联合遏制该僵尸网络的扩张。 源于mirai,高于mirai 该僵尸网络部分借用了m
  • Genshen Ye
    Genshen Ye
6 min read
IoT Botnet

Is Hajime botnet dead?

概述 我们于近期决定公开一部分Hajime相关的研究结果及数据,供社区成员查阅。本文的核心内容包含以下几点: * Hajime跟踪主页上线。结合Hajime的通讯特点(DHT+uTP),我们实现了对Hajime各Bot节点的长期跟踪,同时还在主页绘制了日活及地域分布情况。 * 通过逆向分析,我们代码级重现了密钥交换过程,在该工作的帮助下,可以随时获取到Hajime网络中的最新模块文件。 * 跟踪过程中,我们发现一个包含x64配置项的config文件,该发现预示着,原作者有意将PC平台作为下一个感染目标(这里也存在原作者密钥泄露的可能性)。 Hajime背景 与 MIRAI 的张扬不同,Hajime是一个低调神秘的Botnet,在诞生后的这一年中并没有给公众传递太多的恐慌。MIRAI在明,Hajime在暗,两者相得益彰。在MIRAI源码公开期间,已经有友商详细阐述过其工作机制。 Hajime的核心特点在于:它是一个P2P botnet,安全人员无法通过黑名单的方式直接堵死 Hajime 的指令传输渠道,达到遏制的目的。所以,其一旦广泛传播开便极难彻底清除。
  • RootKiter
    RootKiter
10 min read
New Threat

比较“81端口的botnet”和 MIRAI 之间的联系

概述 从 "81 端口的异常流量"中,我们发现了一个新的僵尸网络家族,它和 MRIAI 存在一定的联系,本文将介绍一些对比结果,同时介绍一下我们从这个 botnet 中发现的一种依赖SSDP协议的感染机制。 ****注:*如无特殊声明,MIRAI的分析将以github源码为基础;新botnet 将以其中的9584B6AEC418A2AF4EFAC24867A8C7EC样本的逆向结果为基础。 相同点 相同的扫描方案 众所周知,MIRAI在传播过程中用到了SYN端口探测的技巧,来提高传播效率。新Botnet 也使用了该技巧并将其用在了81端口扫描中。随着研究的深入我们发现它和MIRAI有着相同的扫描规则。 在 MIRAI 中,被扫描IP是通过一系列随机函数生成的,但他有个黑名单机制,用于跳过一些IP地址范围(代码来自scanner.c),相关截图如下: 而在我们发现的 新Botnet 中(截图选自sub_A7C4函数),也有完全相同的黑名单机制(上下两图红框中是三行比对样例,实际上整个 while 循环体都是完全一致的)。 部分util函数同
  • RootKiter
    RootKiter
6 min read
New Threat

新威胁报告:一个新IoT僵尸网络正在 HTTP 81上大范围传播

概述 360 网络安全研究院近日监测到一个新的僵尸网络正在大范围扫描整个互联网。考虑到该僵尸网络的以下因素,我们决定向安全社区公开我们的发现成果: 1. 规模较大,我们目前可以看到 ~50k 日活IP 2. 有Simple UDP DDoS 攻击记录,可以认定是恶意代码 3. 较新,目前尚有较多安全厂商未能识别该恶意代码 ( 7/55 virustotal ) 4. 与mirai僵尸网络相比,借鉴了其端口嗅探手法和部分代码,但是在传播、C2通信协议、攻击向量等关键方面完全不同于mirai,是新的恶意代码家族而不应视为mirai的变种 我们梳理了该僵尸网络的发现过程、传播手法、行为特征,简略分析了该僵尸网络的攻击行为,并按照时间线组织本blog的各小节如下: 1. GoAhead及多家摄像头的 RCE 漏洞 2. 攻击者将漏洞武器化 3. 我们注意到了来自攻击者的扫描 4. 从扫描到样本 5. C2 历史变化回溯 6. 僵尸网络规模判定 7.
  • Li Fengpei
    Li Fengpei
16 min read
Mirai

Mirai 变种中的DGA

更新历史 2016-12-09 首次发布 2016-12-12 更新图0,修正了我们DGA实现中一处TLD选择的错误 概要 两个星期前,我们发现2个新的感染载体(也即TCP端口7547和5555变种)被用来传播MIRAI恶意软件。 <A Few Observations of The New Mirai Variant on Port 7547> 我的同事Ye Genshen快速设置了一些蜜罐,并且很快取得收获:11月28日一天就捕获了11个样本。 迄今为止,我们的蜜罐已从6个托管服务器捕获了53个独立样本。 在分析其中一个新样本时,我的同事Qu Wenji发现一些类似DGA的代码,并猜测变种中包含有DGA功能,这个猜测很快就从我们的沙箱数据中得到验证。详细的逆向工作显示,在通过TCP端口7547和5555分发的MIRAI样本中确实存在DGA特征。在本博客中,我将介绍我们的发现。简单来说,我们找到的DGA的属性总结如下: 1. 使用3个顶级域名:online/tech/support; 2. L2域名固定长度12字符,每个字符从“a”
  • LIU Ya
    LIU Ya
5 min read
Botnet

德国电信断网:mirai僵尸网络的新变种和旧主控

【更新】 1. 2016-11-29 18:40:00 初始版本 2. 2016-11-29 20:10:00 增加了对德国电信断网事件相关的描述 德国电信断网事件 2016-11-28 德国电信在2016年11月28日前后遭遇一次大范围的网络故障。在这次故障中,2千万固定网络用户中的大约90万个路由器发生故障(约4.5%),并由此导致大面积网络访问受限。很多媒体给出了网络受限的示意图,如下。 德国电信进一步确认了问题是由于路由设备的维护界面被暴露在互联网上、并且互联网上正在发生针对性的攻击而导致。德国电信连夜与设备供应商生成了新的升级包,并且要求客户如果怀疑受到影响就断电重启路由器,之后利用自动/手动的升级过程来减轻问题显然,德国电信还采取了一系列的过滤措施来保证升级过程不受攻击影响。德国电信对该事件给出了较为详细的描述。 https://www.telekom.com/en/media/media-information/archive/information-on-current-problems-444862 按照360网络安全研究院对这次事件
  • Li Fengpei
    Li Fengpei
15 min read