0-day

Moobot 在野0day利用之UNIXCCTV DVR命令注入

本报告由国家互联网应急中心(CNCERT)与北京奇虎科技有限公司(360)共同发布 概述 Moobot是一个基于Mirai开发的僵尸网络,自从其出现就一直很活跃,并且拥有0day漏洞利用的能力。我们有多篇和该botnet相关的文章,感兴趣的读者可以去阅读[1][2][3]。本文主要介绍CNCERT和360公司共同发现的Moobot针对UNIXCCTV DVR/NVR设备的0day利用。关于该漏洞的详细细节我们通知了厂家,并且确认当前厂家已经修复了该漏洞,发布了相应的补丁[ALL265 unix 2.3.7.8B09][NVR unix 2.3.7.8B05][ALL

  • Hui Wang
    Hui Wang
  • Alex.Turing
    Alex.Turing
9 min read
0-day

多款光纤路由器设备在野0-day漏洞简报

本文作者:马延龙,叶根深,涂凌鸣,金晔 大致情况 这是我们过去30天内的第3篇IoT 0-day漏洞文章,之前我们还披露了DrayTek Router在野0-day漏洞分析报告[1],LILIN DVR在野0-day漏洞分析报告[2]。我们观察到僵尸网络存在相互竞争获取更多的Bot规模的情况,其中有些僵尸网络拥有一些0-day漏洞资源,这使它们看起来与众不同。我们正在研究并观察IoT Botnet使用0-day漏洞传播是否是一个新趋势。 2020年2月28日,360Netlab未知威胁检测系统注意到Moobot僵尸网络[3]开始使用一种我们从未见过的新漏洞(多个步骤),并且可以成功攻击受影响的设备。 2020年3月17日,我们确认此漏洞为0-day漏洞,并将结果报告给CNCERT。 2020年3月18日,Exploit Database[4]网站发布了Netlink

  • Genshen Ye
    Genshen Ye
  • Alex.Turing
    Alex.Turing
  • jinye
    jinye
5 min read
LILIN DVR

LILIN DVR 在野0-day 漏洞分析报告

本文作者:马延龙,涂凌鸣,叶根深,刘宏达 当我们研究Botnet时,我们一般看到的是攻击者通过N-day漏洞植入Bot程序。但慢慢的,我们看到一个新的趋势,一些攻击者开始更多地利用0-day漏洞发起攻击,利用手段也越发成熟。我们希望安全社区关注到这一现象,积极合作共同应对0-day漏洞攻击威胁。 背景介绍 从2019年8月30号开始,360Netlab未知威胁检测系统持续监测到多个攻击团伙使用LILIN DVR 0-day漏洞传播Chalubo[1],FBot[2],Moobot[3]僵尸网络。 在2020年1月19号,我们开始联系设备厂商LILIN。在2020年2月13号,厂商修复了该漏洞[4],并发布了最新的固件程序2.0b60_20200207[5]

  • Alex.Turing
    Alex.Turing
  • Genshen Ye
    Genshen Ye
5 min read
DDoS

那些和185.244.25.0/24网段有关的Botnet

根据我们的观察,过去几年185.244.25.0/24这个网段出现了超多的Botnet,包括但不仅限于mirai、gafgyt、tsunami、fbot、moobot、handymanny等,他们属于同一个组织或共享了相关代码。下表是过去一年我们关于该网段的一些统计数据。可以看出该网段有很多的CC和攻击行为。 Count of CC (host:port) Count of attack target host Count of downloader IP Count of loader IP

  • Hui Wang
    Hui Wang
  • Alex.Turing
    Alex.Turing
  • LIU Ya
  • Genshen Ye
    Genshen Ye
9 min read