muhstik - 360 Netlab Blog - Network Security Research Lab at 360

muhstik

A collection of 6 posts

威胁快讯：Log4j漏洞已经被用来组建botnet，针对Linux设备

年末曝光的Log4j漏洞无疑可以算是今年的安全界大事了。作为专注于蜜罐和botnet检测跟踪的团队，我们自该漏洞被公开后就一直关注它会被哪些botnet利用。今早我们等来了首批答案，我们的Anglerfish和Apacket蜜罐先后捕获到2波利用Log4j漏洞组建botnet的攻击，快速的样本分析表明它们分别用于组建 Muhstik 和Mirai botnet，针对的都是Linux设备。样本分析 MIRAI 这一波传播的为miria新变种，相比最初代码，它做了如下变动： 1. 移除了 table_init/table_lock_val/table_unlock_val 等mirai特有的配置管理函数。 2. attack_init 函数也被抛弃，ddos攻击函数会被指令处理函数直接调用。同时，其C2域名选用了一个 uy 顶级域的域名，这在国内也是很少见的。 Muhstik Muhstik 这个网络最早被披露于 2018 年，系一个借鉴了Mirai代码的Tsunami变种。在本次捕获的样本中，我们注意到新Muhstik变种增加了一个后门模块ldm，

GPON 漏洞的在野利用（二）——Satori 僵尸网络

本篇文章由 Rootkiter，yegenshen，Hui Wang 共同撰写。我们在之前的文章里提及，在本次GPON漏洞（CVE-2018-10561，CVE-2018-10562）公布以来，10天内已经有至少5个僵尸网络家族在积极利用该漏洞构建其僵尸军团，包括 mettle、muhstik、mirai、hajime、satori等等。在上一篇文章里，我们详细介绍了 muhstik 僵尸网络的情况。在那篇文章发布的前后，通过与安全社区共同的努力，我们累积关闭了muhstik僵尸网络在 OVH 上的12 个IP地址，以及在微软网络上的 1 个IP地址。详细的IP地址列表，见附件 IoC部分。【更新：值得一提的是，当前绝大部分这些僵尸网络的漏洞利用部分效果是有问题的。根据我们的估计，只有大约2%的特定版本GPON家用路由器受到这些僵尸网络的影响，绝大部分位于墨西哥。这时由于这些僵尸网络使用PoC的方式造成的。】其他的僵尸网络包括： * Satori：satori是臭名昭著的mirai僵尸网络变种，该恶意代码团伙在2018-05-10 05:51:

GPON 漏洞的在野利用（一）——muhstik 僵尸网络

自从本次GPON漏洞公布以来，10天内已经有至少5个僵尸网络家族在积极利用该漏洞构建其僵尸军团，包括 mettle、muhstik、mirai、hajime、satori。时间之短、参与者之多，在以往IoT僵尸网络发展中并不多见。幸运的是，当前包括muhstik、mirai、hajime、satori在内的其中大部分僵尸网络的攻击载荷经测试实现有问题，并不能真正植入恶意代码；mettle 虽然能够植入恶意代码，但C2服务器短暂出现后下线了。无论如何，由于这些恶意代码团伙在积极更新，我们仍应对他们的行为保持警惕。 muhstik 僵尸网络由我们首次批露（报告-2018-04 ）。本次 muhstik 的更新中增加了针对包括 GPON 在内三个漏洞的利用。本轮更新后 muhstik共有 10 种漏洞检测模块。到北京时间5月9日，我们联合安全社区关闭了部分服务器，部分减缓了 muhstik 的扩张速度。然而 muhstik 扩张的脚步并未停止，在2018-05-10 10:30 GMT+8，我们观察到它启用了 165.

GPON Exploit in the Wild (I) - Muhstik Botnet Among Others

On May 1st, VPN Mentor disclosed two vulnerabilities against GPON home router. Since then, at least 5 botnet families have been actively exploiting the vulnerability to build their zombie corps, including mettle, muhstik, mirai, hajime and satori. It is the first time we have seen so many botnets competing for

Botnet Muhstik is Actively Exploiting Drupal CVE-2018-7600 in a Worm Style

On March 28, 2018, drupal released a patch for CVE-2018-7600. Drupal is an open-source content management system written in PHP, quite popular in many sites to provide web service. This vulnerability exists in multiple drupal versions, which may be exploited by an attacker to take full control of the target.

僵尸网络 Muhstik 正在积极利用 Drupal 漏洞 CVE-2018-7600 蠕虫式传播

2018年3月28日，Drupal.org 公布了漏洞 CVE-2018-7600 的修复方案。Drapal 是一个开源的内容管理系统，由PHP语言写成，有很多网站使用 Drupal 向外提供网页服务。本次漏洞存在于 Drupal 的多个版本中，攻击者可以利用该漏洞完全控制网站。从2018年4月13日开始，360网络安全研究院观测到互联网上有大量针对该漏洞的扫描。通过分析，我们认为有至少3组恶意软件在利用该漏洞传播。其中一组恶意软件有蠕虫传播行为，感染量显著比其他的恶意软件更多。分析后，我们认为这是一个长期存在的僵尸网络家族。我们将其命名为 muhstik，这主要是因为其二进制文件名和通信协议中多处包含了这个字符串。我们认为 muhstik 有以下特点值得社区关注： * 蠕虫式传播 * 长期存在 * 使用的漏洞利用数目众多 * 混合使用了多种牟利方式攻击载荷按照时间顺序，Muhstik使用了下面两组攻击载荷，这两组载荷占据了全部看到的载荷的80%左右，是我们看到的攻击的主要部分： * 活跃时间：2018-04-14 03:33:06~ 2018