New Threat - 360 Netlab Blog - Network Security Research Lab at 360

New Threat

A collection of 12 posts

RotaJakiro: A long live secret backdoor with 0 VT detection

Overview On March 25, 2021, 360 NETLAB's BotMon system flagged a suspiciousELF file (MD5=64f6cfe44ba08b0babdd3904233c4857) with 0 VT detection, the sample communicates with 4 domains on TCP 443 (HTTPS), but the traffic is not of TLS/SSL. A close look at the sample revealed it to be a

双头龙(RotaJakiro)，一个至少潜伏了3年的后门木马

版权版权声明：本文为Netlab原创，依据 CC BY-SA 4.0 许可证进行授权，转载请附上出处链接及本声明。概述 2021年3月25日，360 NETLAB的BotMon系统发现一个的VT 0检测的可疑ELF文件(MD5=64f6cfe44ba08b0babdd3904233c4857)，它会与4个业务类型截然不同的域名进行通信，端口均为TCP 443（HTTPS），但流量却并非TLS/SSL类型，这个异常行为引起了我们的兴趣，进一步分析发现它是一个针对Linux X64系统的后门木马，该家族至少已经存在3年但目前还是0检测。基于该家族使用rotate加密，并且运行后对root/non-root账户有不同的行为，犹如一只双头龙，一体双向，我们将它命名为RotaJakiro。 RotaJakiro隐蔽性较强，对加密算法使用比较多，包括：使用AES算法加密样本内的资源信息；C2通信综合使用了AES，XOR，ROTATE加密和ZLIB压缩算法。指令方面，RotaJakiro支持12种指令码，其中3种是和特定plugin相关的，遗憾的是目前我们并没有捕获到这类pay

New Threat: ZHtrap botnet implements honeypot to facilitate finding more victims

Overview In the security community, when people talk about honeypot, by default we would assume this is one of the most used toolkits for security researchers to lure the bad guys. But recently we came across a botnet uses honeypot to harvest other infected devices, which is quite interesting. From

新威胁：ZHtrap僵尸网络分析报告

版权版权声明：本文为Netlab原创，依据 CC BY-SA 4.0 许可证进行授权，转载请附上出处链接及本声明。概述从2021年2月28日起，360网络安全研究院的BotMon系统检测到IP(107.189.30.190)在持续传播一批未知ELF样本。经分析，我们确认这些样本隶属于一个新的botnet家族，结合其运行特点，我们将其命名为ZHtrap，本文对其做一分析，文章要点如下： 1. ZHtrap的传播使用了4个Nday漏洞，主要功能依然是DDoS和扫描，同时集成了一些后门功能。 2. Zhtrap能将被感染设备蜜罐化，目的是提高扫描效率。 3. Zhtrap感染受害主机后会禁止运行新的命令，以此实现彻底控制和独占该设备。 4. 在C2通信上，ZHtrap借鉴了套娃，采用了Tor和云端配置。 ZHtrap全情介绍 ZHtrap的代码由Mirai修改而来，支持x86, ARM, MIPS等主流CPU架构。但相对Mirai，ZHtrap变化较大，体现在如下方面： * 在指令方面，加入了校验机制 * 在扫描传播方面，增加了对真实设备和蜜

安全威胁预警：Mirai变种Satori正在端口 37215 和 52869 上类似蠕虫式传播

作者：360网络安全研究院 [更新记录] - 2017-12-05 18:56:40 UTC，在我们的博客发出2个小时后，我们观察到C2服务器开始向bot发送停止扫描的指令，与此同时我们看到大网上这两个端口的流量开始下降。 - 文中提到的C2地址 95.211.123.69:7654 ，实际是 95.211.123.69:7645 的笔误。在我们之前的blog中，我们提及有大约10万个来自阿根廷的独立扫描IP正在扫描端口2323和23，并且确定这是一个新的mirai变种。在过去的几天中，扫描行为变得愈发严重，更多的国家出现在我们的ScanMon平台上。仔细分析后我们看到了更多的部分，意识到之前2323/23端口上的扫描还只是巨大拼图的一小部分。就在我们继续深入分析的时候，我们的注意到一个新的情况出现，值得引起安全社区立即注意。下面是对这个情况非常简短和粗糙的说明。大约从今天中午 (2017-12-05 11:57 AM)开始，我们注意到Satori（一个mirai变种）的新版本正在端口37215和52869上非常快速的传播。这个新变种有两个地方与以往mirai有显

Warning: Satori, a Mirai Branch Is Spreading in Worm Style on Port 37215 and 52869

Author: 360 netlab [Update History] - At 2017-12-05 18:56:40 UTC, 2 hours after our blog goes live, we observed the C2 sending kill scan command to the bots, and that explains why the scan activities on the two ports started to drop on a global scale. - The

安全威胁早期预警：新的mirai僵尸网络变种正在端口23和2323上积极传播

【2017-11-28 更新】 * 原文中提到的两个C2均已被安全社区sinkhole。 * 原文中的 admin/CentryL1nk 是 admin/CenturyL1nk 的笔误。大约60个小时以前，从2017-11-22 11:00开始，360网络安全研究院注意到在端口2323和23上的扫描流量有一个暴涨现象。其中主要扫描者，大约10万个扫描IP地址位于阿根廷，同时360网络安全研究院也注意到大约有5千个IP地址来自国内。分析以后，目前比较确定这是一个新的mirai变种。根因分析在我们蜜罐中，最近有两个新的用户名密码被频繁使用到，分别是 admin/CentryL1nk 和 admin/QwestM0dem 。值得一提，admin/CentryL1nk 这对用户名密码是针对ZyXEL PK5001Z 调制解调器的，在一份上月底的利用中被批露。上述两个用户名密码对，被滥用的初始时间在2017-11-22 11:00附近，在2017-11-23 日间达到顶峰。这个时间曲线与我们在Scanmon上观察到2323/23端口的扫描曲线比较一致。另外

Early Warning: A New Mirai Variant is Spreading Quickly on Port 23 and 2323

[Updates on 2017-11-28] * Both C2s have been sink-holed now by security community. * admin/CentryL1nk is a typo for admin/CenturyL1nk. About 60 hours ago, since 2017-11-22 11:00, we noticed big upticks on port 2323 and 23 scan traffic, with almost 100k unique scanner IP came from Argentina. After investigation,

Http 81 Botnet: the Comparison against MIRAI and New Findings

Overview In our previous blog, we introduced a new IoT botnet spreading over http 81. We will name it in this blog the http81 IoT botnet, while some anti-virus software name it Persirai, and some other name it after MIRAI. In this blog, we will compare http81 against mirai at

比较“81端口的botnet”和 MIRAI 之间的联系

概述从 "81 端口的异常流量"中，我们发现了一个新的僵尸网络家族，它和 MRIAI 存在一定的联系，本文将介绍一些对比结果，同时介绍一下我们从这个 botnet 中发现的一种依赖SSDP协议的感染机制。 ****注：*如无特殊声明，MIRAI的分析将以github源码为基础；新botnet 将以其中的9584B6AEC418A2AF4EFAC24867A8C7EC样本的逆向结果为基础。相同点相同的扫描方案众所周知，MIRAI在传播过程中用到了SYN端口探测的技巧，来提高传播效率。新Botnet 也使用了该技巧并将其用在了81端口扫描中。随着研究的深入我们发现它和MIRAI有着相同的扫描规则。在 MIRAI 中，被扫描IP是通过一系列随机函数生成的，但他有个黑名单机制，用于跳过一些IP地址范围（代码来自scanner.c），相关截图如下：而在我们发现的新Botnet 中（截图选自sub_A7C4函数），也有完全相同的黑名单机制（上下两图红框中是三行比对样例，实际上整个 while 循环体都是完全一致的）。部分util函数同

New Threat Report: A new IoT Botnet is Spreading over HTTP 81 on a Large Scale

Overview 360 Network Security Research Lab recently discovered a new botnet that is scanning the entire Internet on a large scale. Taking into account the following factors in the botnet, we decided to disclose our findings to the secure community: 1. Very active, we can now see ~ 50k live scanner

新威胁报告：一个新IoT僵尸网络正在 HTTP 81上大范围传播

概述 360 网络安全研究院近日监测到一个新的僵尸网络正在大范围扫描整个互联网。考虑到该僵尸网络的以下因素，我们决定向安全社区公开我们的发现成果： 1. 规模较大，我们目前可以看到～50k 日活IP 2. 有Simple UDP DDoS 攻击记录，可以认定是恶意代码 3. 较新，目前尚有较多安全厂商未能识别该恶意代码 ( 7/55 virustotal ) 4. 与mirai僵尸网络相比，借鉴了其端口嗅探手法和部分代码，但是在传播、C2通信协议、攻击向量等关键方面完全不同于mirai，是新的恶意代码家族而不应视为mirai的变种我们梳理了该僵尸网络的发现过程、传播手法、行为特征，简略分析了该僵尸网络的攻击行为，并按照时间线组织本blog的各小节如下： 1. GoAhead及多家摄像头的 RCE 漏洞 2. 攻击者将漏洞武器化 3. 我们注意到了来自攻击者的扫描 4. 从扫描到样本 5. C2 历史变化回溯 6. 僵尸网络规模判定 7.