360 Netlab Blog - Network Security Research Lab at 360
  • Botnet
  • DDoS
  • PassiveDNS
  • Marai
  • Http81
  • DDG

Tenda

A collection of 2 posts

0-day

Ttint: An IoT Remote Access Trojan spread through 2 0-day vulnerabilities

Author: Lingming Tu, Yanlong Ma, Genshen Ye Background introduction Starting from November 2019, 360Netlab Anglerfish system have successively monitored attacker using two Tenda router 0-day vulnerabilities to spread a Remote Access Trojan (RAT)

  • Alex.Turing
    Alex.Turing
  • Genshen Ye
    Genshen Ye
10 min read
0-day

Ttint: 一款通过2个0-day漏洞传播的IoT远控木马

本文作者:涂凌鸣,马延龙,叶根深 背景介绍 从2019年11月开始,360Netlab未知威胁检测系统Anglerfish蜜罐节点相继监测到某个攻击者使用2个腾达路由器0-day漏洞传播一个基于Mirai代码开发的远程控制木马(RAT)。 常规的Mirai变种基本都是围绕DDoS做文章,而这个变种不同,在DDoS攻击之外,它针对路由器设备实现了Socket5代理,篡改路由器DNS,设置iptables,执行自定义系统命令等多达12个远程控制功能。 此外,在C2通信层面,它使用WSS (WebSocket over TLS) 协议,一方面这样在流量层面可以规避非常成熟的Mirai流量检测,另一方面可以为C2提供安全加密通信。 在C2本身,攻击者最开始使用了一个Google的云服务IP,其后切换到位于香港的一台托管主机,但是当我们使用网站证书,样本,域名及IP在我们的DNSmon系统里深入扩展关联后,我们看到更多的基础设施IP,更多的样本,和更多的C2域名。

  • Alex.Turing
    Alex.Turing
  • Genshen Ye
    Genshen Ye
12 min read
360 Netlab Blog - Network Security Research Lab at 360 © 2021
Latest Posts Twitter Ghost