DDoSMon

RSA大会 '2018,360Netlab的威胁情报服务

RSA大会'2018 即将在4月16日至19日期间在美国旧金山Moscone中心举办。在今年的这次大会上,360Netlab将首次集中展示威胁情报服务能力。您可以在 这里 观看介绍视频,记得可能需要手动调到1080P。您也可以试用在线系统,包括 DDoSMon 和ScanMon 。 DDoSMon、ScanMon和DNSMon,是360Netlab本次展示威胁情报服务能力的三个主要组成部分。三者分别提供拒绝服务、网络扫描、域名异常的监控能力,应对全球网络流量实时处理。 DNSMon是2018年新推出的能力。在DNSMon里面,我们实时的分析海量的DNS流量,并对流量中的各种异常和关联关系予以分析,从而发现大网流行的恶意代码行为。另一方面,DNSMon将我们指向未知威胁发现领域,我们期待在这个领域内作出更多成果。DNSMon相关已经公开的成功案例,包括之前公布的“偷电”系列分析文章。 ScanMon早先在2016年ISC和2017 RSAC大会上两次公布。

  • Li Fengpei
    Li Fengpei
2 min read
Mining

是谁悄悄偷走我的电(四):国内大玩家对Coinhive影响的案例分析

《是谁悄悄偷走我的电》是我们的一个系列文章,讨论我们从 DNSMon 看到的网页挖矿的情况。在这个系列的之前的 一 、 二 和 三 中,我们已经介绍了整个Web挖矿的市场情况。当前我们知道,市场中的玩家主要可以分为挖矿网站和内容/流量网站,前者提供挖矿能力、后者提供流量,二者合力利用终端用户的浏览器算力挖矿获利。 当前,挖矿网站中最大的玩家是 coinhive 家族,按照被引用数量计,占据了 58% 的市场份额。这些在我们之前的文章中已经提及。 那么,流量网站的情况如何,有哪些有意思的情况? Coinhive 的关联域名 DNSMon

  • Zhang Zaifeng
    Zhang Zaifeng
6 min read
Mining

是谁悄悄偷走我的电(三):某在线广告网络公司案例分析

我们最近注意到,某在线网络广告商会将来自 coinhive 的javascript网页挖矿程序,插入到自己广告平台中,利用最终用户的浏览器算力,挖取比特币获利。 P公司是一家在线广告网络公司,负责完成广告和广告位之间的匹配,并从中获取收入;Adblock 是一种浏览器插件,用户可以利用来屏蔽广告。显然,上述两者之间有长久的利益冲突和技术对抗。 在2017-09之前,我们就注意到 P公司 会利用类似 DGA 的技术,生成一组看似随机的域名,绕过 adblock,从而保证其投放的广告能够到达最终用户,我们将这组域名称为 DGA.popad。 从2017-12开始,我们观察到P公司开始利用这些 DGA.popad 域名,

  • Zhang Zaifeng
    Zhang Zaifeng
9 min read
Browser Mining

是谁悄悄偷走我的电(二):那些利用主页挖取比特币的网站

我们在早先的 文章 中提到,大约有 0.2% 的网站在使用主页中嵌入的JS代码挖矿: - Alexa 头部 10万网站中,有 241 (0.24%)个 - Alexa 头部 30万网站中,有 629 (0.21%)个 我们决定还是公开文中提到的全部站点列表,这样读者可以采取更多的行动。 我们的 DNSMon 在2018-02-08 生成的列表,其格式如下: Alexa_

  • YANG XU
    YANG XU
1 min read
Mining

是谁悄悄偷走我的电(一):利用DNSMon批量发现被挂挖矿代码的域名

在360网络安全研究院,我们持续的分析海量的DNS流量。基于此,我们建立了 DNSMon 检测系统,能够对 DNS 流量中的各种异常和关联关系予以分析。 在之前的 文章 中,我们提到了 openload.co 等网站利用Web页面挖矿的情况。在那之后,我们进一步利用 DNSMon 对整个互联网上网页挖矿进行分析,本文描述我们目前看到情况。 当前我们可以看到: 0.2% 的网站在首页嵌入了Web挖矿代码:Alexa Top 10万的网站中,有 241 (0.24%) ; Alexa

  • YANG XU
    YANG XU
6 min read
Mining

openload.co 等网站绕过 CoinHive 使用客户端浏览器算力挖取门罗币

从2017年12月24日,我们注意到一组网站正在滥用客户终端浏览器的算力在挖矿。攻击者在利用了 CoinHive 的浏览器端挖矿代码基础上,完全绕过 CoinHive 自己运营,避开了 CoinHive 的抽成费用。提供挖矿服务的域名成组出现,共计22个,最早活动时间是2017-11-29。 涉及使用上述挖矿服务的网站,包括openload.co,oload.stream,thevideo.me,streamcherry.com,streamango.com。其中,openload.co 网站的Alex排名为136,流行程度非常高,这意味着全球范围内有较多的终端用户算力会被攻击者攫取。 5个异常域名 dnsmon

  • Zhang Zaifeng
    Zhang Zaifeng
8 min read
DNS

从DNS和sinkhole视角看WannaCry蠕虫

编注:本文来源自《中国计算机学会通讯》2017年第7期《WannaCry勒索蠕虫专刊》,作者是360网络安全研究院李丰沛。在本博客发布时,文章的字句和排版略有调整,以适应本技术博客。我们将该文章发布在本技术博客的动机之一,是因为这篇文章中对WannaCry的感染情况做了一个定量分析,本技术博客的后续其他分析文章可以参考做一个基准。 域名系统(Domain Name System, DNS)数据作为全网流量数据的一种采样方式,可以在大网尺度对域名做有效的度量和分析。我们利用DNS数据,在过去数年里对多个安全事件,包括Mirai等僵尸网络、DGA等恶意域名,以及黑色产业链条进行跟踪和分析。对于最近爆发的WannaCry蠕虫病毒,利用DNS数据进行分析,也是很有意义的。 众所周知,WannaCry蠕虫病毒有一个开关域名,即www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com,该域名相关详细内容见《

  • Li Fengpei
    Li Fengpei
14 min read
PassiveDNS

我们也来聊聊IDN

Introduction###   文中首先对IDN的历史和研究进行了回顾,并从近日有关IDN的博客入手,利用DNS派的流量数据,使用轻量级的方法,对目前网络中的“形近异义”的IDN域名进行了测量研究,并对IDN域名目前在网络中的用途进行分析。研究发现,1)Alexa Top10K 域名中至少有83个域名的形近异义IDN域名在活跃,即相关的知名网站受到这种潜在的钓鱼攻击影响;2)我们发现了一起真实的利用IDN域名对Facebook进行钓鱼攻击的案例(www.xn--facebok-i01c.com)。网络安全研究院会持续跟进这项测量研究,希望借此提醒有关厂商,注意提高与其相关的IDN域名品牌保护意识。 Background### 1. IDN   国际域名(Internationalized domain name, IDN)[1],最早在1996年由Martin

  • LiuBaojun
    LiuBaojun
13 min read
PassiveDNS

以大站的名义:专注地下产业的网络基础设施

【历史更新记录】 2017-01-10 原始版本 2017-01-16 补充了对服务器IP地址同源性的分析,此处分析指向性较弱,仅为完备性考虑 概述 在奇虎网络安全研究院(netlab@360.cn),我们建立了一个基于DNS的异常流量监测系统,每天会检出若干异常流量以及对应的域名/IP。通常这些被检出的域名/IP都属于地下产业链条。 但是,我们注意到一些代表知名公司的字符串也出现在这些被检出的域名中,包括360, ali, baidu, cloudflare, dnspod, google和microsoft。通过分析,我们认为这是有人冒用大站名义,为赌博、色情、私服等地下产业提供网络基础设施服务。 这一基础设施结构错综复杂,运营时间长、支撑能力强、

  • Zhang Zaifeng
    Zhang Zaifeng
10 min read
Mirai

Mirai 变种中的DGA

更新历史 2016-12-09 首次发布 2016-12-12 更新图0,修正了我们DGA实现中一处TLD选择的错误 概要 两个星期前,我们发现2个新的感染载体(也即TCP端口7547和5555变种)被用来传播MIRAI恶意软件。 <A Few Observations of The New Mirai Variant on Port 7547> 我的同事Ye Genshen快速设置了一些蜜罐,并且很快取得收获:11月28日一天就捕获了11个样本。 迄今为止,我们的蜜罐已从6个托管服务器捕获了53个独立样本。 在分析其中一个新样本时,我的同事Qu Wenji发现一些类似DGA的代码,

  • LIU Ya
5 min read
Mirai

关于 mirai 僵尸网络控制主机的数据分析

之前的文章中已经提及,我们的僵尸网络跟踪系统对mirai僵尸网络控制主机做了持续跟踪,并且在文章的结尾处,依据跟踪结果排除了僵尸网络操作者位于北京时区的可能。在这篇文章中,我们将进一步分析mirai僵尸网络的控制主机的行为和特征。之前文章链接如下: http://blog.netlab.360.com/a-dyn-twitter-ddos-event-report-and-mirai-botnet-review/ 目前为止,我们与安全社区合作共享了两位数域名上的超过50个mirai僵尸网络主控。但本文后面的分析仅针对360网络安全研究院独立发现的主控,即13个域名上的16个主控主机名,其中8个在持续对外发起攻击。 在时间线上,我们可以看到各主控随时间变化的注册、在DNS中首次出现、持续保持IP地址变化、首次被监控到发起攻击等事件。地理分布方面,主控的IP地理分布主要在欧洲和美国,尤以欧洲为甚,亚洲很少,这从侧面增强了之前“mirai控制者不在北京时区”的判断。 域名注册信息方面,绝大多数主控在域名注册时在TLD、注册局、

  • Li Fengpei
    Li Fengpei
7 min read
PassiveDNS

DNS中的“无效Rdata”

所谓Rdata是指在DNS记录中与类型相关的数据部分。比如对于DNS的A记录中的IPv4地址或者MX记录中的主机名及其优先级。 在分析DNS的数据过程中,常常能见到各种不同种类的怪异的Rdata。我们把不能有效反应域名和rdata的对应关系的数据称为“无效Rdata”。对这些无效Rdata进行分析是理解DNS数据的一个有趣的切入点。 另外,结合最近火爆的威胁情报,发现很多的数据源中,都包含了这些“无效的Rdata”,它们降低了这些威胁情报的质量。因此对这些无效rdata的过滤是提高威胁情报质量的一个重要手段。 尽管还有很多其他类型的无效的rdata,但是相比IP地址来说,其他种类的数据影响较小。因此本文主要讨论IP地址。 DNS Sinkhole的IP地址 DNS Sinkhole是安全厂商为了研究恶意软件的行为,将恶意软件的网络流量进行接管的一种方式,具体参见wiki的定义。 从PassiveDNS中的数据来看,sinkhole的域名主要集中在使用DGA技术产生随机域名的恶意软件上。比如上一篇blog中提到的conficker,以及大名鼎鼎的GOZ等。现在来看,多数的DGA域名都已经被不同的安全机构做了sinkhole。 除了DGA域名之外,也有安全厂商对特定的恶意软件进行sinkhole,比如卡巴斯基就惯用这种手法对未知的恶意软件使用sinkhole对其网络行为进行研究。

  • Zhang Zaifeng
    Zhang Zaifeng
8 min read
PassiveDNS

Conficker域名被滥用情况分析

根据对conficker域名的跟踪,我们发现conficker的域名存在明显的滥用。主要表现为浏览器访问conficker域名后,会跳转到广告页面(既有正常业务,也有赌博/色情等灰色业务),有时候还会存在一些垃圾软件(比如虚假的杀毒软件)的推广等。 由于conficker的DGA域名的巨大数量,我们希望了解产生这种状况的原因以及其现在的规模。 Conficker域名现状及被滥用状况 Conficker简介 Conficker是出现于2008年11月,曾感染了数百万台电脑。Conficker有一个独特的特性是它使用了DGA技术。利用随机生成的域名来防止网络设备的封堵。自此以后DGA技术也开始逐渐流行起来。关于conficker和DGA的细节,请参考[1] [2]。 校验数据集及passvieDNS中的命中情况 我们选取了2010-01-01到2016-09-15这段时间内,由conficker.a 和conficker.b生成的全部的DGA域名作为数据全集,共1225000条域名。 检查这些域名在passiveDNS中的命中情况。排除NXDOMAIN之外,总共命中了216352条。

  • Zhang Zaifeng
    Zhang Zaifeng
12 min read