RAT - 360 Netlab Blog - Network Security Research Lab at 360

RAT

A collection of 8 posts

The Pitfall of Threat Intelligence Whitelisting: Specter Botnet is 'taking over' Top Legit DNS Domains By Using ClouDNS Service

Abstract In order to reduce the possible impact of false positives, it is pretty common practice for security industry to whitelist the top Alexa domains such as www.google.com, www.apple.com, www.qq.com, www.alipay.com. And we have seen various machine learning detection models that bypass

白名单之殇：Specter僵尸网络滥用ClouDNS服务，github.com无辜躺枪

摘要威胁情报的应用，始终存在着“漏报”和“误报”的平衡，为了减少可能的误报带来的业务影响，你的威胁情报白名单中是否静静的躺着 www.apple.com、www.qq.com、www.alipay.com 这样的流行互联网业务域名呢？你的机器学习检测模型，依照历史流量，是否会自动对 .qq.com、.alipay.com 这样的流量行为增加白权重呢？但安全是对抗，白帽子想“判黑”，黑客想“洗白”。我们看到的白，不一定是真的白，可能只是黑客想让我们以为的白。我们BotnetMon最近的跟踪发现，Specter僵尸网络家族的样本，会使用api.github.com这种域名作为CC域名来通信，通过“可定制化”的DNS服务，将“白域名”引导到黑IP上来实现自己恶意指令通信。这种“过白”手法，在流量检测的场景下，

Ghost in action: the Specter botnet

Background On August 20, 2020, 360Netlab Threat Detect System captured a suspicious ELF file (22523419f0404d628d02876e69458fbe.css)with 0 VT detection. When we took a close look, we see a new botnet that targets AVTECH IP Camera / NVR / DVR devices, and it has flexible configuration, highly modular / plugin, and uses TLS,

幽灵在行动：Specter分析报告

背景 2020年8月20日，360Netlab未知威胁检测系统捕获了一个通过漏洞传播可疑ELF文件(22523419f0404d628d02876e69458fbe.css)，其独特的文件名，TLS网络流量以及VT杀软0检出的情况，引起了我们的兴趣。经过分析，我们确定它是一个配置灵活，高度模块化/插件化，使用TLS，ChaCha20，Lz4加密压缩网络通信，针对AVTECH IP Camera / NVR / DVR 设备的恶意家族，我们捕获的ELF是Dropper，会释放出一个Loader,而Loader则会通过加密流量向C2请求各种Plugin以实现不同的功能。样本build路径为/build/arm-specter-linux-uclibcgnueabi，所以我们命名为Specter。目前来看，Specter有很多不专业的地方，比如，它在释放Loader的同时也释放2个运行时所需要的库，但它们都是dynamically linked。又如下载的Plugin落在文件上再加载而不是在内存中直接展开加载。而且Dropper的传播是利用5年旧的老漏洞；但是在另外一方面，它

Dacls, the Dual platform RAT

Background On October 25, 2019, a suspicious ELF file (80c0efb9e129f7f9b05a783df6959812) was flagged by our new threat monitoring system. At first glance, it seems to be just another one of the regular botnets, but we soon realized this is something with potential link to the Lazarus Group. At present, the industry

Lazarus Group使用Dacls RAT攻击Linux平台

背景介绍 2019年10月25号，360Netlab未知威胁检测系统发现一个可疑的ELF文件(80c0efb9e129f7f9b05a783df6959812)。一开始，我们以为这是在我们发现的Unknown Botnet中比较平凡的一个，并且在那时候VirusTotal上有2款杀毒引擎能够识别。当我们关联分析它的相关样本特征和IoC时，我们发现这个案例跟Lazarus Group有关，并决定深入分析它。目前，业界也从未公开过关于Lazarus Group针对Linux平台的攻击样本和案例。通过详细的分析，我们确定这是一款功能完善，行为隐蔽并适用于Windows和Linux平台的RAT程序，并且其幕后攻击者疑似Lazarus Group。事实上，这款远程控制软件相关样本早在2019年5月份就已经出现，目前在VirusTotal上显示被26款杀毒软件厂商识别为泛型的恶意软件，但它还是不为人所知，我们也没有找到相关分析报告。所以，我们会详细披露它的一些技术特征，并根据它的文件名和硬编码字符串特征将它命名为Dacls。 Dacls 概览 Dacls是一款新型的远程控

Malicious Campaign luoxk Is Actively Exploiting CVE-2018-2893

Author: Zhang Zaifeng, yegenshen, RootKiter, JiaYu On July 18, in an officially released routine patch update, Oracle fixed CVE-2018-2893, an Oracle WebLogic Server remote code execution vulnerability. Three days later, at 2018-07-21 11:24:31 GMT+8, we noticed that a malicious campaign that we have been tracking for a

恶意代码团伙luoxk正在积极利用 CVE-2018-2893 传播

文章作者：Zhang Zaifeng, yegenshen, RootKiter, JiaYu 7月18日，Oracle在官方发布的例行补丁更新中修复了CVE-2018-2893，一个Oracle WebLogic Server 远程代码执行漏洞。一般认为漏洞影响严重且相关PoC已经公开，建议相关用户尽快进行评估升级。三天后，2018-07-21 11:24:31 开始，我们注意到一个长久以来我们跟踪的恶意代码团伙正在积极利用该漏洞传播自身。由于该团伙经常使用 luoxkexp[.]com ，我们将其命名为 luoxk 。该恶意代码团伙第一次触发我们的警铃是在一年前的2017年3月17日，我们的DNSMon系统，在该恶意代码团伙域名注册后的第二天根据算法自动判断该域名异常。在那以后，我们持续观察了该恶意代码团伙的行为，包括： * DDoS攻击：使用DSL4（Nitol）恶意代码，对应的C2 luoxkexp.com * 挖矿：挖矿使用的钱包地址是 48WDQHCe5aRDeHv1DkkdwQiPRQSqYw2DqEic7MZ47iJVVTeQ1aknD