adbminer

Fbot,一个Satori相关的、基于区块链DNS的蠕虫

从2018-09-13 11:30 UTC开始,我们首次注意到一个新的蠕虫正在清理 com.ufo.miner。在完成了清理动作后,该蠕虫会等待来自C2(musl.lib,66.42.57.45:7000, Singapore/SG)的下一步指令。我们将该蠕虫命名为fbot,主要是因为该蠕虫的主要执行模块使用了这个名字。该C2域名的解析,需要通过EmerDNS,一个emercoin.com旗下的区块链DNS完成。 com.ufo.miner 与我们之前多次 报告 的 ADB.Miner 类似,利用adb安卓调试接口传播,并挖矿。ADB.Miner 是我们今年二月首次 报告 的,自那以后,类似的其他僵尸网络已经长期传播,感染了包括 Amazon FireTV 在内的多种设备。 最后,新的蠕虫Fbot与臭名昭著的
  • Hui Wang
    Hui Wang
6 min read
Satori

僵尸永远不死,Satori也拒绝凋零

两天前,2018-06-14,我们注意到 Satori 的作者开始扫描收集 uc-httpd 1.0.0 设备的IP地址列表。这或许是为了针对4月公开的脆弱性 XiongMai uc-httpd 1.0.0 (CVE-2018-10088) 在做准备。这些扫描活动导致了近期在 80 和 8000 端口上的扫描流量大涨。 3小时前,就在我们撰写本篇文章的同时,Satori 作者又发布了一个更新版本。这个更新是个蠕虫,针对 D-Link DSL-2750B 设备,对应的漏洞利用在5月25日刚刚 公开 。 僵尸永远不死 Satori 是 Mirai 僵尸网络的一个变种,我们首次注意到该僵尸网络是 2017-11-22。一周之后,2017-12-05,Satori在12小时内感染了超过26万家用路由器设备,成为臭名昭著的僵尸网络。从那以后我们不再使用“一个mirai僵尸网络变种”称呼它,而是给予了它一个独立的名字 Satori。
  • RootKiter
    RootKiter
8 min read
Mirai

GPON 漏洞的在野利用(二)——Satori 僵尸网络

本篇文章由 Rootkiter,yegenshen,Hui Wang 共同撰写。 我们在之前的 文章 里提及,在本次GPON漏洞(CVE-2018-10561,CVE-2018-10562)公布以来,10天内已经有至少5个僵尸网络家族在积极利用该漏洞构建其僵尸军团,包括 mettle、muhstik、mirai、hajime、satori等等。 在上一篇文章里,我们详细介绍了 muhstik 僵尸网络的情况。在那篇文章发布的前后,通过与安全社区共同的努力,我们累积关闭了muhstik僵尸网络在 OVH 上的12 个IP地址,以及在微软网络上的 1 个IP地址。详细的IP地址列表,见附件 IoC部分。 【更新:值得一提的是,当前绝大部分这些僵尸网络的漏洞利用部分效果是有问题的。根据我们的估计,只有大约2%的特定版本GPON家用路由器受到这些僵尸网络的影响,绝大部分位于墨西哥。这时由于这些僵尸网络使用PoC的方式造成的。】 其他的僵尸网络包括: * Satori:satori是臭名昭著的mirai僵尸网络变种,该恶意代码团伙在2018-05-10 05:51:
  • RootKiter
    RootKiter
9 min read
Botnet

偷盗的艺术: Satori 变种正在通过替换钱包地址盗取 ETH 数字代币

在我们2017年12月5日发布的关于Satori的 文章 中,我们提到Satori僵尸网络正在以前所未有的速度快速传播。自从我们的文章发布以后,安全社区、ISP、供应链厂商共同协作,Satori 的控制端服务器被 sinkhole、ISP和供应链厂商采取了行动,Satori的蔓延趋势得到了暂时遏制,但是Satori的威胁依然存在。 从 2018-01-08 10:42:06 GMT+8 开始,我们检测到 Satori 的后继变种正在端口37215和52869上重新建立整个僵尸网络。值得注意的是,新变种开始渗透互联网上现存其他Claymore Miner挖矿设备,通过攻击其3333 管理端口,替换钱包地址,并最终攫取受害挖矿设备的算力和对应的 ETH 代币。我们将这个变种命名为 Satori.Coin.Robber。 这是我们第一次见到僵尸网络替换其他挖矿设备的钱包。这给对抗恶意代码带来了一个新问题:即使安全社区后续接管了 Satori.Coin.Robber 的上联控制服务器,那些已经被篡改了钱包地址的挖矿设备,仍将持续为其贡献算力和 ETH 代币。 到
  • RootKiter
    RootKiter
10 min read
IoT Botnet

安全威胁预警:Mirai变种Satori正在端口 37215 和 52869 上类似蠕虫式传播

作者:360网络安全研究院 [更新记录] - 2017-12-05 18:56:40 UTC,在我们的博客发出2个小时后,我们观察到C2服务器开始向bot发送停止扫描的指令,与此同时我们看到大网上这两个端口的流量开始下降。 - 文中提到的C2地址 95.211.123.69:7654 ,实际是 95.211.123.69:7645 的笔误。 在我们之前的blog中,我们提及有大约10万个来自阿根廷的独立扫描IP正在扫描端口2323和23,并且确定这是一个新的mirai变种。在过去的几天中,扫描行为变得愈发严重,更多的国家出现在我们的ScanMon平台上。仔细分析后我们看到了更多的部分,意识到之前2323/23端口上的扫描还只是巨大拼图的一小部分。就在我们继续深入分析的时候,我们的注意到一个新的情况出现,值得引起安全社区立即注意。下面是对这个情况非常简短和粗糙的说明。 大约从今天中午 (2017-12-05 11:57 AM)开始,我们注意到Satori(一个mirai变种)的新版本正在端口37215和52869上非常快速的传播。这个新变种有两个地方与以往mirai有显
  • Li Fengpei
    Li Fengpei
6 min read
IoT Botnet

安全威胁早期预警:新的mirai僵尸网络变种正在端口23和2323上积极传播

【2017-11-28 更新】 * 原文中提到的两个C2均已被安全社区sinkhole。 * 原文中的 admin/CentryL1nk 是 admin/CenturyL1nk 的笔误。 大约60个小时以前,从2017-11-22 11:00开始,360网络安全研究院注意到在端口2323和23上的扫描流量有一个暴涨现象。其中主要扫描者,大约10万个扫描IP地址位于阿根廷,同时360网络安全研究院也注意到大约有5千个IP地址来自国内。分析以后,目前比较确定这是一个新的mirai变种。 根因分析 在我们蜜罐中,最近有两个新的用户名密码被频繁使用到,分别是 admin/CentryL1nk 和 admin/QwestM0dem 。值得一提,admin/CentryL1nk 这对用户名密码是针对ZyXEL PK5001Z 调制解调器的,在一份上月底的利用 中被批露。 上述两个用户名密码对,被滥用的初始时间在2017-11-22 11:00附近,在2017-11-23 日间达到顶峰。这个时间曲线与我们在Scanmon上观察到2323/23端口的扫描曲线比较一致。 另外
  • Li Fengpei
    Li Fengpei
5 min read