记录黑客技术中优秀的内容,传播黑客文化,分享黑客技术精华

Dark Nexus僵尸网络分析

Bitdefender 安全研究人员发现了一款新出现的IoT僵尸网络——Dark Nexus。Dark Nexus利用被黑的智能设备来发起DDoS攻击,通过平台来提供DDoS 租赁服务。研究人员发现Dark Nexus 通过凭证填充对路由器(Dlink、ASUS等知名品牌)、视频录像机、温感摄像机等不同种类的设备发起攻击,使其加入到僵尸网络中来。截止目前,Dark Nexus 入侵了至少1372个主机充当逆向代理,涉及中国、韩国、 泰国、巴西和俄罗斯。图1 dark_nexus僵尸网络全球受害者分布情况架构恶意软件二进制文件使用了一款开源的工具链Aboriginal Linux进行跨平台编译,可以使二进制文件适用于不同的IoT平台。这些二进制文件的
发布时间:2020-07-09 12:54 | 阅读:4888 | 评论:0 | 标签:僵尸网络

那些年我们一起追过的僵尸网络之Moobot

概述 Moobot是一个基于Mirai开发的僵尸网络,我们最早发现其活动在2019年7月,这里有一篇我们关于Moobot的文章,感兴趣的读者可以去阅读[0]。 2019年8月起我们开始对其进行跟踪,在这将近一年的时间其样本更新、DDoS攻击等活动从未间断过。其最近参加了一次我们不方便透露的重大DDoS攻击活动,又一次成功引起了我们的注意。所以决定来扒一扒它的前世今生。 样本传播 Moobot样本主要通过Telnet弱口令和利用nday,0day[1][2]漏洞传播,我们观察到的Moobot利用的漏洞如下: Vulnerability Affected Aevice HiSilicon DVR/NVR Backdoor Firmware for Xiaongmai-based DVRs, NVRs
发布时间:2020-07-09 12:02 | 阅读:6878 | 评论:0 | 标签:0-day Botnet DDoS 僵尸网络

亡命徒(Outlaw)僵尸网络感染约2万台Linux服务器,腾讯安全提醒企业及时清除

亡命徒(Outlaw)僵尸网络感染约2万台Linux服务器,腾讯安全提醒企业及时清除2020-07-01 15:38:32腾讯安全威胁情报中心检测到国内大量企业遭遇亡命徒(Outlaw)僵尸网络攻击。该僵尸网络最早于2018年被发现,其主要特征为通过SSH爆破攻击目标系统,同时传播基于Perl的Shellbot和门罗币挖矿木马。一、背景腾讯安全威胁情报中心检测到国内大量企业遭遇亡命徒(Outlaw)僵尸网络攻击。亡命徒(Outlaw)僵尸网络最早于2018年被发现,其主要特征为通过SSH爆破攻击目标系统,同时传播基于Perl的Shellbot和门罗币挖矿木马。腾讯安全威胁情报中心安全大数据显示,亡命徒(Outlaw)僵尸网络已造成国内约2万台Linux服务器感染,影响上万家企业。此次攻击传播的母体文件为dota
发布时间:2020-07-01 16:35 | 阅读:6007 | 评论:0 | 标签:linux 僵尸网络

Linux僵尸网络最新变种现身:Docker服务器惨遭殃及

研究人员近期发现了2个攻击Docker服务器的Linux僵尸网络的变种,分别是XORDDoS 恶意软件和Kaiji DDoS恶意软件。将Docker 服务器作为目标是XORDDoS和 Kaiji恶意软件的新变化,之前这两款恶意软件的目标是云系统中的Linux 主机。最近Kaiji首次被曝影响物联网设备。攻击者常常使用僵尸网络在扫描了SSH 和Telnet端口后执行暴力破解攻击。这两款恶意软件也搜索了暴露2375 端口的Docker服务器。2375端口是Docker API使用的一个端口,用于非加密或非认证的通信。这两个恶意软件变种的攻击方法有明显的差异。XORDDoS 攻击会利用Docker服务器来感染服务器上的容器,而Kaiji 攻击会在感染的服
发布时间:2020-06-29 15:16 | 阅读:8627 | 评论:0 | 标签:linux 僵尸网络

双枪团伙新动向,借云服务管理数十万僵尸网络

本文作者:jinye,JiaYu,suqitian,核心安全部研究员THL 概述 近日,我们的域名异常监测系统 DNSMon 捕捉到域名 pro.csocools.com 的异常活动。根据数据覆盖度估算,感染规模超过100k。我们通过告警域名关联到一批样本和 C2,分析样本后发现是与双枪恶意程序相关的团伙开始新的大规模活动。近年来双枪团伙屡次被安全厂商曝光和打击,但每次都能死灰复燃高调复出,可见其下发渠道非常庞大。本次依然是因为受感染主机数量巨大,导致互联网监测数据异常,触发了netlab的预警系统。本报告中我们通过梳理和这些URL相关的C2发现了一些模式,做了一些推测。 我们观察到恶意软件除了使用百度贴吧图片来分发配置文件和恶意软件,还使用了阿里云存储来托管配置文件。为了提高灵活性和稳定性,加大阻拦难度,开发
发布时间:2020-05-23 11:25 | 阅读:19609 | 评论:0 | 标签:僵尸网络

Eleethub:使用 Rootkit 进行自我隐藏的加密货币挖矿僵尸网络

原文:Eleethub: A Cryptocurrency Mining Botnet with Rootkit for Self-Hiding译者:知道创宇404实验室翻译组Unit 42研究人员发现了一个新的使用Perl Shellbot的僵尸网络活动,旨在挖掘比特币,同时使用专门制作的rootkit以避免检测。该僵尸网络传播的方式是将一个恶意的shell脚本发送到一个受攻击的设备,然后该设备下载其他脚本。在受害者设备执行下载的脚本之后,它开始等待来自其命令和控制(C2)服务器的命令。尽管Perl编程语言因其广泛的兼容性而在恶意软件中流行,但这种僵尸网络不仅可能影响基于unix的系统,还可能影响使用Linux子系统的Windows 10系统。本次发现的新活动使用了一个名为libpro
发布时间:2020-05-20 19:55 | 阅读:15371 | 评论:0 | 标签:加密 僵尸网络

Mirai 和 Hoaxcalls 僵尸网络瞄准旧版赛门铁克 Web 网关

原文:Mirai and Hoaxcalls Botnets Target Legacy Symantec Web Gateways译者:知道创宇404实验室翻译组摘要作为Unit 42主动监控野外传播威胁工作的一部分,我最近发现了新的Hoaxcalls和Mirai僵尸网络活动,是针对赛门铁克安全Web网关5.0.2.8中的身份验证后的远程执行代码漏洞。该产品已逐渐淘汰,于2015年到期,产品支持于2019年到期。目前还没证据表明其他版本的固件易受攻击,我已与赛门铁克共享这些发现。他们证实赛门铁克Web网关5.2.8中已不再存在当前被利用的漏洞,他们还想强调一点,此漏洞不会影响安全的Web网关解决方案,包括代理程序和Web安全服务。2020年4月24日,第一个利用该漏洞的攻击实例浮出水面
发布时间:2020-05-18 22:13 | 阅读:13350 | 评论:0 | 标签:AI 僵尸网络

针对欧洲组织的新的僵尸网络 Outlaw 再度来袭

原文链接:Outlaw is Back, a New Crypto-Botnet Targets European Organizations 译者:知道创宇404实验室翻译组 介绍在我们的日常监控中,我们拦截了一个试图渗透客户网络的Linux恶意软件,该恶意软件是著名的“ Shellbot ”,被定义为“Outlaw Hacking Group”的犯罪工具。早在2018年,TrendMicro首次发现“Outlaw Hacking Group”,该犯罪团伙主攻汽车和金融领域,而Outlaw僵尸网通过暴力登录以及SSH漏洞(利用Shellshock Flaw和Drupalgeddon2漏洞)来实现对目标系统(包括服务器和IoT设备)进行远程访问。其中,TrendMicro首次发现的
发布时间:2020-05-14 17:41 | 阅读:17601 | 评论:0 | 标签:僵尸网络

Mykings僵尸网络更新基础设施,大量使用PowerShell脚本进行“无文件”攻击挖矿

Mykings僵尸网络更新基础设施,大量使用PowerShell脚本进行“无文件”攻击挖矿2020-05-12 17:50:23MyKings僵尸网络2017 年 2月左右开始出现,该僵尸网络通过扫描互联网上 1433 及其他多个端口渗透进入受害者主机,然后传播包括 DDoS、Proxy(代理服务)、RAT(远程控制木马)、Miner(挖矿木马)、暗云III在内的多种不同用途的恶意代码。由于MyKings僵尸网络主动扩散的能力较强,影响范围较广,对企业用户危害严重。 一、概述MyKings僵尸网络2017 年 2月左右开始出现,该僵尸网络通过扫描互联网上 1433 及其他多个端口渗透进入受害者主机,然后传播包括 DDoS、Proxy(代理服务)、RAT(远程控制木马)、Miner(挖矿木马)、暗云III在内的多
发布时间:2020-05-13 00:00 | 阅读:17317 | 评论:0 | 标签:攻击 僵尸网络

恶意软件僵尸网络“黑色玫瑰Lucy”带着勒索软件功能卷土重来

据安全研究人员称,“黑玫瑰Lucy”恶意软件僵尸网络已将勒索软件功能纳入其攻击工具包。就在前不久,一名Android恶意软件研究人员通过推文曝光了一个名叫“黑色玫瑰Lucy”的恶意软件僵尸网络。而根据CheckPoint的最新研究,最新版本的恶意软件僵尸网络“黑色玫瑰Lucy”带着勒索软件功能卷土重来了。在此之后,CheckPoint安全公司便立刻收集到了一些该恶意软件的样本,并发现该恶意软件现在会伪装成视频播放器等多媒体类应用程序来感染用户。在这种伪装的外壳之下,恶意软件将会试图引诱目标用户启用辅助性服务(Accessibility Services)以尽可能减少安装勒索软件Payload时所需要的用户交互。除此之外,恶意软件还使用了两个命令来让目标设备保持屏幕
发布时间:2020-05-08 11:01 | 阅读:20184 | 评论:0 | 标签:僵尸网络

VictoryGate僵尸网络分析

ESET研究人员近期发现一个新的僵尸网络——VictoryGate。该僵尸网络从2019年5月开始活跃,之后先后出现了3个不同的初始模块变种,此外还有大约10个辅助的payload。初始模块为MSIL/VictoryGate,因此研究人员将其命名为VictoryGate。该僵尸网络主要由拉美的设备组成,大约占90%。研究人员发现了多个攻击者使用的C2域名,然后用这些域名来监控僵尸网络的活动。研究人员估计僵尸网络的规模至少超过35000个设备。为了控制僵尸网络,VictoryGate只使用动态DNS服务提供商No-IP处注册的子域名。ESET将恶意子域名报告给了No-IP,目前相关域名已无法解析和访问。 图中可以看到每天连接到C2的IP地址
发布时间:2020-04-29 12:32 | 阅读:12307 | 评论:0 | 标签:僵尸网络

精准投放Tsunami僵尸网络和“魔铲”挖矿木马的行动分析

1 概述近日,安天CERT联合哈尔滨工业大学网络安全响应组通过网络安全监测发现了一起僵尸网络和挖矿木马事件,该事件针对Linux系统,包含服务器和智能设备。攻击者配置了一个IP列表,如果目标主机外网IP在列表中则下载运行Tsunami僵尸程序,如果目标主机外网IP不在列表中则下载运行“魔铲”挖矿木马,IP列表共8487条,全球范围内涉及政府部门、金融行业、互联网企业、媒体、运营商等多种目标,国内也有大量目标。安天CERT分析推测,IP列表中的对应机构的特点是网络流量相对较大,因此被攻击者用来做僵尸网络的组成部分;IP列表外的,网络流量可能相对较小,因此被攻击者用来挖矿。被感染的Linux系统的计划任务中,存在一个每隔一段时间执行一次下载和运行upd
发布时间:2020-04-26 11:42 | 阅读:19135 | 评论:0 | 标签:僵尸网络

挖矿僵尸网络NSAGluptebaMiner利用永恒之蓝漏洞传播

挖矿僵尸网络NSAGluptebaMiner利用永恒之蓝漏洞传播2020-04-17 23:16:35腾讯安全威胁情报中心检测到挖矿僵尸网络NSAGluptebaMiner变种正在利用永恒之蓝漏洞攻击传播。目前该僵尸网络会控制机器进行门罗币挖矿和搜集用户隐私数据,并具有远程执行命令的功能,同时还会利用比特币交易数据更新C2。一、背景腾讯安全威胁情报中心检测到挖矿僵尸网络NSAGluptebaMiner变种正在利用永恒之蓝漏洞攻击传播。目前该僵尸网络会控制机器进行门罗币挖矿和搜集用户隐私数据,并具有远程执行命令的功能,同时还会利用比特币交易数据更新C2。cloudnet.exe原来是Glupteba恶意木马,Glupteba最早作为Operation Windigo组织用于部署僵尸网络中的一部分首次出现,2018
发布时间:2020-04-18 02:36 | 阅读:25959 | 评论:0 | 标签:漏洞 僵尸网络

新一代“智能”僵尸网络已经入侵上千台华硕、D-Link路由器

安全研究人员透露,在过去的三个月中,一个新的僵尸网络已经破坏了上千台ASUS、D-Link和Dasan Zhone路由器,以及诸如录像机和热像仪之类的物联网(IoT)设备。该僵尸网络称为Dark_nexus,其技术和战术类似于以前的危险IoT威胁,例如Qbot银行恶意软件和Mirai僵尸网络。但是,Dark_nexus还配备了一个创新模块,用于实现持久性和检测逃避,研究人员说“该技术使其他[僵尸网络]感到羞耻”。Bitdefender的研究人员在周三的分析中说:虽然[Dark_nexus]可能与以前已知的IoT僵尸网络共享某些功能,但是其某些创新模块使其具有更强大的功能。例如,有效载荷针对12种不同的CPU架构进行了编译,并根据受害人的配置动态传送。Dark_nexus还借用了Qbot和臭名昭著的Mirai僵尸
发布时间:2020-04-10 16:04 | 阅读:21947 | 评论:0 | 标签:威胁情报 首页动态 “智能”僵尸网络 D-Link路由器 华硕 入侵 僵尸网络

Phorpiex僵尸网络技术分析(一)

一、概述截至目前,Phorpiex僵尸网络已经至少感染了1000000台Windows计算机。此前,我们曾经详细介绍了僵尸网络的架构、命令与控制基础结构以及加密劫持的方法,详细可以参考翻译文章《暴利营生的背后:揭秘Phorpiex僵尸网络的赚钱体系》、《肆虐的性勒索邮件,躺赚的Phorpiex botnet幕后人员》。在本文中,我们将详细介绍该僵尸网络用于实现恶意模块的技术细节。Phorpiex僵尸网络的核心部分是一个名为Tldr的加载工具。该加载工具负责将其他恶意模块和其他恶意软件加载到受感染的计算机。每个模块都是单独的Windows可执行文件。通常情况下,Phorpiex模块非常小并且非常简单。恶意软件配置一般会硬编码到恶意软件的可执行文件之中
发布时间:2020-04-10 14:26 | 阅读:14758 | 评论:0 | 标签:僵尸网络

Hoaxcalls僵尸网络:利用CVE-2020-8515/5722漏洞

概述CVE-2020-8515漏洞POC今年3月发布后,就被用于新的DDoS僵尸网络中。进一步分析表明该恶意软件也在利用CVE-2020-5722漏洞进行传播。检测到的攻击流量自2020年3月31日以来增加了一倍,表明许多Grandstream UCM6200 和Draytek Vigor设备已经被感染或正在被攻击。Grandstream设备是基于IP的商用电话系统,Draytek是路由器设备。CVE-2020-8515 和CVE-2020-5722漏洞的CVSS v3.1评分都是9.8。一旦被利用,攻击者就可以在有漏洞的设备上执行任意命令。恶意软件是基于Gafgyt/Bashlite恶意软件家族代码基的,研究人员根据其C2通信使用的IRC信道名将
发布时间:2020-04-08 13:27 | 阅读:24561 | 评论:0 | 标签:漏洞 CVE 僵尸网络

公告

学习黑客技术,传播黑客文化

推广

工具

标签云