记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

双枪团伙新动向,借云服务管理数十万僵尸网络

本文作者:jinye,JiaYu,suqitian,核心安全部研究员THL 概述 近日,我们的域名异常监测系统 DNSMon 捕捉到域名 pro.csocools.com 的异常活动。根据数据覆盖度估算,感染规模超过100k。我们通过告警域名关联到一批样本和 C2,分析样本后发现是与双枪恶意程序相关的团伙开始新的大规模活动。近年来双枪团伙屡次被安全厂商曝光和打击,但每次都能死灰复燃高调复出,可见其下发渠道非常庞大。本次依然是因为受感染主机数量巨大,导致互联网监测数据异常,触发了netlab的预警系统。本报告中我们通过梳理和这些URL相关的C2发现了一些模式,做了一些推测。 我们观察到恶意软件除了使用百度贴吧图片来分发配置文件和恶意软件,还使用了阿里云存储来托管配置文件。为了提高灵活性和稳定性,加大阻拦难度,开发
发布时间:2020-05-23 11:25 | 阅读:2279 | 评论:0 | 标签:僵尸网络

Eleethub:使用 Rootkit 进行自我隐藏的加密货币挖矿僵尸网络

原文:Eleethub: A Cryptocurrency Mining Botnet with Rootkit for Self-Hiding译者:知道创宇404实验室翻译组Unit 42研究人员发现了一个新的使用Perl Shellbot的僵尸网络活动,旨在挖掘比特币,同时使用专门制作的rootkit以避免检测。该僵尸网络传播的方式是将一个恶意的shell脚本发送到一个受攻击的设备,然后该设备下载其他脚本。在受害者设备执行下载的脚本之后,它开始等待来自其命令和控制(C2)服务器的命令。尽管Perl编程语言因其广泛的兼容性而在恶意软件中流行,但这种僵尸网络不仅可能影响基于unix的系统,还可能影响使用Linux子系统的Windows 10系统。本次发现的新活动使用了一个名为libpro
发布时间:2020-05-20 19:55 | 阅读:2036 | 评论:0 | 标签:加密 僵尸网络

Mirai 和 Hoaxcalls 僵尸网络瞄准旧版赛门铁克 Web 网关

原文:Mirai and Hoaxcalls Botnets Target Legacy Symantec Web Gateways译者:知道创宇404实验室翻译组摘要作为Unit 42主动监控野外传播威胁工作的一部分,我最近发现了新的Hoaxcalls和Mirai僵尸网络活动,是针对赛门铁克安全Web网关5.0.2.8中的身份验证后的远程执行代码漏洞。该产品已逐渐淘汰,于2015年到期,产品支持于2019年到期。目前还没证据表明其他版本的固件易受攻击,我已与赛门铁克共享这些发现。他们证实赛门铁克Web网关5.2.8中已不再存在当前被利用的漏洞,他们还想强调一点,此漏洞不会影响安全的Web网关解决方案,包括代理程序和Web安全服务。2020年4月24日,第一个利用该漏洞的攻击实例浮出水面
发布时间:2020-05-18 22:13 | 阅读:2440 | 评论:0 | 标签:AI 僵尸网络

针对欧洲组织的新的僵尸网络 Outlaw 再度来袭

原文链接:Outlaw is Back, a New Crypto-Botnet Targets European Organizations 译者:知道创宇404实验室翻译组 介绍在我们的日常监控中,我们拦截了一个试图渗透客户网络的Linux恶意软件,该恶意软件是著名的“ Shellbot ”,被定义为“Outlaw Hacking Group”的犯罪工具。早在2018年,TrendMicro首次发现“Outlaw Hacking Group”,该犯罪团伙主攻汽车和金融领域,而Outlaw僵尸网通过暴力登录以及SSH漏洞(利用Shellshock Flaw和Drupalgeddon2漏洞)来实现对目标系统(包括服务器和IoT设备)进行远程访问。其中,TrendMicro首次发现的
发布时间:2020-05-14 17:41 | 阅读:4075 | 评论:0 | 标签:僵尸网络

Mykings僵尸网络更新基础设施,大量使用PowerShell脚本进行“无文件”攻击挖矿

Mykings僵尸网络更新基础设施,大量使用PowerShell脚本进行“无文件”攻击挖矿2020-05-12 17:50:23MyKings僵尸网络2017 年 2月左右开始出现,该僵尸网络通过扫描互联网上 1433 及其他多个端口渗透进入受害者主机,然后传播包括 DDoS、Proxy(代理服务)、RAT(远程控制木马)、Miner(挖矿木马)、暗云III在内的多种不同用途的恶意代码。由于MyKings僵尸网络主动扩散的能力较强,影响范围较广,对企业用户危害严重。 一、概述MyKings僵尸网络2017 年 2月左右开始出现,该僵尸网络通过扫描互联网上 1433 及其他多个端口渗透进入受害者主机,然后传播包括 DDoS、Proxy(代理服务)、RAT(远程控制木马)、Miner(挖矿木马)、暗云III在内的多
发布时间:2020-05-13 00:00 | 阅读:4528 | 评论:0 | 标签:攻击 僵尸网络

恶意软件僵尸网络“黑色玫瑰Lucy”带着勒索软件功能卷土重来

据安全研究人员称,“黑玫瑰Lucy”恶意软件僵尸网络已将勒索软件功能纳入其攻击工具包。就在前不久,一名Android恶意软件研究人员通过推文曝光了一个名叫“黑色玫瑰Lucy”的恶意软件僵尸网络。而根据CheckPoint的最新研究,最新版本的恶意软件僵尸网络“黑色玫瑰Lucy”带着勒索软件功能卷土重来了。在此之后,CheckPoint安全公司便立刻收集到了一些该恶意软件的样本,并发现该恶意软件现在会伪装成视频播放器等多媒体类应用程序来感染用户。在这种伪装的外壳之下,恶意软件将会试图引诱目标用户启用辅助性服务(Accessibility Services)以尽可能减少安装勒索软件Payload时所需要的用户交互。除此之外,恶意软件还使用了两个命令来让目标设备保持屏幕
发布时间:2020-05-08 11:01 | 阅读:6612 | 评论:0 | 标签:僵尸网络

VictoryGate僵尸网络分析

ESET研究人员近期发现一个新的僵尸网络——VictoryGate。该僵尸网络从2019年5月开始活跃,之后先后出现了3个不同的初始模块变种,此外还有大约10个辅助的payload。初始模块为MSIL/VictoryGate,因此研究人员将其命名为VictoryGate。该僵尸网络主要由拉美的设备组成,大约占90%。研究人员发现了多个攻击者使用的C2域名,然后用这些域名来监控僵尸网络的活动。研究人员估计僵尸网络的规模至少超过35000个设备。为了控制僵尸网络,VictoryGate只使用动态DNS服务提供商No-IP处注册的子域名。ESET将恶意子域名报告给了No-IP,目前相关域名已无法解析和访问。 图中可以看到每天连接到C2的IP地址
发布时间:2020-04-29 12:32 | 阅读:3361 | 评论:0 | 标签:僵尸网络

精准投放Tsunami僵尸网络和“魔铲”挖矿木马的行动分析

1 概述近日,安天CERT联合哈尔滨工业大学网络安全响应组通过网络安全监测发现了一起僵尸网络和挖矿木马事件,该事件针对Linux系统,包含服务器和智能设备。攻击者配置了一个IP列表,如果目标主机外网IP在列表中则下载运行Tsunami僵尸程序,如果目标主机外网IP不在列表中则下载运行“魔铲”挖矿木马,IP列表共8487条,全球范围内涉及政府部门、金融行业、互联网企业、媒体、运营商等多种目标,国内也有大量目标。安天CERT分析推测,IP列表中的对应机构的特点是网络流量相对较大,因此被攻击者用来做僵尸网络的组成部分;IP列表外的,网络流量可能相对较小,因此被攻击者用来挖矿。被感染的Linux系统的计划任务中,存在一个每隔一段时间执行一次下载和运行upd
发布时间:2020-04-26 11:42 | 阅读:5531 | 评论:0 | 标签:僵尸网络

挖矿僵尸网络NSAGluptebaMiner利用永恒之蓝漏洞传播

挖矿僵尸网络NSAGluptebaMiner利用永恒之蓝漏洞传播2020-04-17 23:16:35腾讯安全威胁情报中心检测到挖矿僵尸网络NSAGluptebaMiner变种正在利用永恒之蓝漏洞攻击传播。目前该僵尸网络会控制机器进行门罗币挖矿和搜集用户隐私数据,并具有远程执行命令的功能,同时还会利用比特币交易数据更新C2。一、背景腾讯安全威胁情报中心检测到挖矿僵尸网络NSAGluptebaMiner变种正在利用永恒之蓝漏洞攻击传播。目前该僵尸网络会控制机器进行门罗币挖矿和搜集用户隐私数据,并具有远程执行命令的功能,同时还会利用比特币交易数据更新C2。cloudnet.exe原来是Glupteba恶意木马,Glupteba最早作为Operation Windigo组织用于部署僵尸网络中的一部分首次出现,2018
发布时间:2020-04-18 02:36 | 阅读:11028 | 评论:0 | 标签:漏洞 僵尸网络

新一代“智能”僵尸网络已经入侵上千台华硕、D-Link路由器

安全研究人员透露,在过去的三个月中,一个新的僵尸网络已经破坏了上千台ASUS、D-Link和Dasan Zhone路由器,以及诸如录像机和热像仪之类的物联网(IoT)设备。该僵尸网络称为Dark_nexus,其技术和战术类似于以前的危险IoT威胁,例如Qbot银行恶意软件和Mirai僵尸网络。但是,Dark_nexus还配备了一个创新模块,用于实现持久性和检测逃避,研究人员说“该技术使其他[僵尸网络]感到羞耻”。Bitdefender的研究人员在周三的分析中说:虽然[Dark_nexus]可能与以前已知的IoT僵尸网络共享某些功能,但是其某些创新模块使其具有更强大的功能。例如,有效载荷针对12种不同的CPU架构进行了编译,并根据受害人的配置动态传送。Dark_nexus还借用了Qbot和臭名昭著的Mirai僵尸
发布时间:2020-04-10 16:04 | 阅读:11350 | 评论:0 | 标签:威胁情报 首页动态 “智能”僵尸网络 D-Link路由器 华硕 入侵 僵尸网络

Phorpiex僵尸网络技术分析(一)

一、概述截至目前,Phorpiex僵尸网络已经至少感染了1000000台Windows计算机。此前,我们曾经详细介绍了僵尸网络的架构、命令与控制基础结构以及加密劫持的方法,详细可以参考翻译文章《暴利营生的背后:揭秘Phorpiex僵尸网络的赚钱体系》、《肆虐的性勒索邮件,躺赚的Phorpiex botnet幕后人员》。在本文中,我们将详细介绍该僵尸网络用于实现恶意模块的技术细节。Phorpiex僵尸网络的核心部分是一个名为Tldr的加载工具。该加载工具负责将其他恶意模块和其他恶意软件加载到受感染的计算机。每个模块都是单独的Windows可执行文件。通常情况下,Phorpiex模块非常小并且非常简单。恶意软件配置一般会硬编码到恶意软件的可执行文件之中
发布时间:2020-04-10 14:26 | 阅读:8383 | 评论:0 | 标签:僵尸网络

Hoaxcalls僵尸网络:利用CVE-2020-8515/5722漏洞

概述CVE-2020-8515漏洞POC今年3月发布后,就被用于新的DDoS僵尸网络中。进一步分析表明该恶意软件也在利用CVE-2020-5722漏洞进行传播。检测到的攻击流量自2020年3月31日以来增加了一倍,表明许多Grandstream UCM6200 和Draytek Vigor设备已经被感染或正在被攻击。Grandstream设备是基于IP的商用电话系统,Draytek是路由器设备。CVE-2020-8515 和CVE-2020-5722漏洞的CVSS v3.1评分都是9.8。一旦被利用,攻击者就可以在有漏洞的设备上执行任意命令。恶意软件是基于Gafgyt/Bashlite恶意软件家族代码基的,研究人员根据其C2通信使用的IRC信道名将
发布时间:2020-04-08 13:27 | 阅读:16670 | 评论:0 | 标签:漏洞 CVE 僵尸网络

4月8日每日安全热点 - Hoaxcalls DDoS 僵尸网络利用 Grandstream 和 DrayTek 设备漏洞

漏洞 VulnerabilityCVE-2020-10204/CVE-2020-10199: Nexus Repository Manager3 漏洞分析https://mp.weixin.qq.com/s/KP-O38uZCRq7SY7S48L_swJackson-databind-2670远程代码执行漏洞简单分析https://xz.aliyun.com/t/7506安全工具 Security ToolsFuzzowski:一款功能强大的网络协议模糊测试工具https://www.freebuf.com/sectool/227869.html恶意软件 Malware火眼:通过 “代码嫁接” 仿真模拟分析和解压恶意软件https://www.fireeye.co
发布时间:2020-04-08 13:11 | 阅读:13324 | 评论:0 | 标签:ddos 漏洞 僵尸网络

DDG挖矿僵尸网络病毒最新变种分析

近期,公司攻防实验室接到客户反馈服务器异常卡顿,疑似感染挖矿病毒,经过安全工程师分析之后确定感染了DDG挖矿病毒,版本为5019和5020。黑客通过SSH爆破或漏洞攻击利用进行入侵,入侵成功后会执行远程下载名为i.sh的shell脚本,DDG5019和5020版本区别在于是否使用UPX加壳。以下是对该病毒进行的若干研究和分析,如有疏漏和错误,欢迎广大读者指正。 i.sh脚本该脚本主要功能是写入定时任务用于持久化,下载ddgs母体二进制文件,分为32位和64位;之后将下载的ddgs病毒母体重命名为mbdh139c,赋予权限并执行;清除历史版本的进程。而此次的5020的i.sh版本中的下载链接替换成了域名的形式,并且每次访问域名都会随机替换。 ddgsddg母体的主要
发布时间:2020-04-08 13:11 | 阅读:8550 | 评论:0 | 标签:僵尸网络

【安全帮】DDG僵尸网络一月升级9个版本攻击Linux系统挖矿

DDG僵尸网络一月升级9个版本攻击Linux系统挖矿DDG僵尸网络最早出现于2017年,主要是通过对SSH服务和 Redis服务进行扫描暴破入侵LINUX系统挖门罗币获利,腾讯安全威胁情报中心曾多次披露该团伙的挖矿活动。近日,腾讯安全发现DDG僵尸网络频繁更新,在最近最近一个月内总共更新了9个版本,平均每周更新2个版本(DDG/5015-DDG/5023)。病毒的挖矿行为会对服务器性能产生极大影响,建议Linux管理员注意避免使用弱密码,及时修补系统漏洞。参考来源:https://mp.weixin.qq.com/s/8pJCK6vyxbXJK08VgBZ6Ng MongoDB推
发布时间:2020-04-05 13:46 | 阅读:15166 | 评论:0 | 标签:linux 攻击 僵尸网络

【安全帮】Vollgar僵尸网络每天成功感染近3000台MSSQL服务器

Vollgar僵尸网络每天成功感染近3000台MSSQL服务器网络安全研究人员发现了一个名为Vollgar的加密挖矿僵尸网络,该僵尸网络至少自2018年以来一直在劫持MSSQL服务器,通过发起暴力攻击以接管服务器并安装Monero和Vollar恶意挖矿软件。Vollgar僵尸网络的攻击目标是暴露在网上的使用弱凭据的Microsoft SQL服务器,在过去的几周中,攻击者几乎每天成功感染2000~3000台服务器。而潜在的受害者分别来自中国、印度、美国、韩国和土耳其的医疗、航空、IT和电信以及高等教育部门。参考来源:https://www.freebuf.com/news/232295.ht
发布时间:2020-04-03 09:32 | 阅读:11795 | 评论:0 | 标签:僵尸网络

公告

九层之台,起于累土;黑客之术,始于阅读

推广

工具

标签云