记录黑客技术中优秀的内容,传播黑客文化,分享黑客技术精华

北京健康宝被网络攻击背后的数据分析

摘要 北京健康宝在4月28日遭遇DDoS攻击,各保障团队快速响应、通力合作,将攻击影响快速消弭。如同战场,一次攻击被消除,但只要黑恶势力还在,下一次攻击可能已经在路上。为此,我们有必要深度分析一下其背后的攻击团队,了解其规模及攻击手法,做到知彼知己。 通过360Netlab积累的多维度安全威胁数据,我们可以确定这次事件的发起方是我们内部命名为Rippr的团伙,它使用了已经披露过的恶意代码家族Fbot的作为攻击武器。如同现实世界的病毒一样,网络世界的恶意代码往往也基于旧有的恶意代码,不断地被一批又一批有“恶意目的”的人控制来演进、传播、利用。
发布时间:2022-05-10 13:04 | 阅读:99981 | 评论:0 | 标签:Botnet DDoS 攻击 网络 分析

New Threat: B1txor20, A Linux Backdoor Using DNS Tunnel

Background Since the Log4J vulnerability was exposed, we see more and more malware jumped on the wagon, Elknot, Gafgyt, Mirai are all too familiar, on February 9, 2022, 360Netlab's honeypot system cap
发布时间:2022-03-15 23:47 | 阅读:52903 | 评论:0 | 标签:Botnet DNS Tunnel Backdoor linux DNS

新威胁:使用DNS Tunnel技术的Linux后门B1txor20正在通过Log4j漏洞传播

背景 自从Log4J漏洞被曝光后,正所谓"忽如一夜漏洞来,大黑小灰笑开怀”。无数黑产团伙摩拳擦掌加入了这个“狂欢派对”,其中既有许多业界非常熟悉的恶意软件家族,同时也有一些新兴势力想趁着这股东风在黑灰产上分一杯羹。360Netlab作为专注于蜜罐和Botnet检测跟踪的团队,我们自该漏洞被公开后就一直关注它会被哪些僵尸网络利用,期间我们看到了Elknot,Gafgyt,Mirai等老朋友的从不缺席,也见证了一些新朋友的粉墨登场。
发布时间:2022-03-15 12:57 | 阅读:52963 | 评论:0 | 标签:Botnet DNS Tunnel DNS Backdoor 后门 漏洞 linux log4j

Some details of the DDoS attacks targeting Ukraine and Russia in recent days

At 360Netlab, we continuously track botnets on a global scale through our BotMon system. In particular, for DDoS-related botnets, we further tap into their C2 communications to enable us really see th
发布时间:2022-02-26 02:27 | 阅读:84802 | 评论:0 | 标签:DDoS Botnet Mirai gafgyt Ripprbot moobot Rusia Ukraine ddos

我们近期看到的针对乌克兰和俄罗斯的DDoS攻击细节

在360Netlab(netlab.360.com),我们持续的通过我们的 BotMon 系统跟踪全球范围内的僵尸网络。特别的,对于DDoS 相关的僵尸网络,我们会进一步跟踪其内部指令,从而得以了解攻击的细节,包括攻击者是谁、受害者是谁、在什么时间、具体使用什么攻击方式。 最近俄乌局势紧张,双方的多个政府、军队和金融机构都遭到了DDoS攻击,我们也不断接收到安全社区的询问,咨询对于最近乌克兰和俄罗斯相关网站 (.ua .ru下属域名)遭受DDoS攻击的具体情况,因此我们特意整理相关数据供安全社区参考。 针对乌克兰的DDoS攻击 下图是我们看到的针对域名以.gov.ua结尾的政府网站的攻击趋势。
发布时间:2022-02-25 18:17 | 阅读:128762 | 评论:0 | 标签:Botnet DDoS Ukraine BotMon russia ddos 攻击

已有10个家族的恶意样本利用Log4j2漏洞传播

背景介绍 2021年12月11号8点整,我们率先捕获到Muhstik僵尸网络样本通过Log4j2 RCE漏洞传播,并首发披露Mirai和Muhstik僵尸网络在野利用详情[1]。 2天来,我们陆续又捕获到其它家族的样本,目前,这个家族列表已经超过10个,这里从漏洞、payload、攻击IP 和样本分析等几个维度介绍我们的捕获情况。
发布时间:2021-12-13 23:39 | 阅读:102194 | 评论:0 | 标签:Log4j log4shell Botnet Anglerfish Honeypot elknot Mirai Tsun

威胁快讯:Log4j漏洞已经被用来组建botnet,针对Linux设备

年末曝光的Log4j漏洞无疑可以算是今年的安全界大事了。作为专注于蜜罐和botnet检测跟踪的团队,我们自该漏洞被公开后就一直关注它会被哪些botnet利用。今早我们等来了首批答案,我们的Anglerfish和Apacket蜜罐先后捕获到2波利用Log4j漏洞组建botnet的攻击,快速的样本分析表明它们分别用于组建 Muhstik 和Mirai botnet,针对的都是Linux设备。
发布时间:2021-12-11 23:37 | 阅读:79776 | 评论:0 | 标签:Log4j Mirai muhstik Botnet 漏洞 linux

Threat Alert: Log4j Vulnerability Has Been adopted by two Linux Botnets

The Log4j vulnerability that came to light at the end of the year can undoubtedly be considered a major event in the security community. Honeypot and botnet are our bread and butter, and we have been
发布时间:2021-12-11 23:37 | 阅读:101773 | 评论:0 | 标签:Botnet linux

EwDoor僵尸网络,正在攻击美国AT&T用户

背景介绍 2021年10月27日,我们的BotMon系统发现有攻击者正通过CVE-2017-6079漏洞攻击Edgewater Networks设备,其payload里有比较罕见的mount文件系统指令,这引起了我们的兴趣,经过分析,我们确认这是一个全新的僵尸网络家族,基于其针对Edgewater产商、并且有Backdoor的功能,我们将它命名为EwDoor。 最初捕获的EwDoor使用了常见的硬编码C2方法,同时采用了冗余机制,单个样本的C2多达14个。Bot运行后会依次向列表中的C2发起网络请求直到成功建立C2会话。
发布时间:2021-12-01 12:49 | 阅读:85500 | 评论:0 | 标签:DDoS Botnet 0-day 攻击 僵尸网络 美国 网络

EwDoor Botnet Is Attacking AT&T Customers

Background On October 27, 2021, our Botmon system ided an attacker attacking Edgewater Networks' devices via CVE-2017-6079 with a relatively unique mount file system command in its payload, which had
发布时间:2021-11-30 23:33 | 阅读:85203 | 评论:0 | 标签:DDoS Botnet 0-day

The Pitfall of Threat Intelligence Whitelisting: Specter Botnet is 'taking over' Top Legit DNS Domains By Using ClouDNS

Abstract In order to reduce the possible impact of false positives, it is pretty common practice for security industry to whitelist the top Alexa domains such as www.google.com, www.apple.com, www.qq.
发布时间:2021-11-18 23:33 | 阅读:125068 | 评论:0 | 标签:DNS RAT Botnet AI

Abcbot, an evolving botnet

Background Business on the cloud and security on the cloud is one of the industry trends in recent years. 360Netlab is also continuing to focus on security incidents and trends on the cloud from its o
发布时间:2021-11-09 23:34 | 阅读:344133 | 评论:0 | 标签:DDoS Botnet DGA Golang

僵尸网络Abcbot的进化之路

背景 业务上云、安全上云是近年来业界的发展趋势之一。360Netlab 从自身擅长的技术领域出发,也在持续关注云上安全事件和趋势。下面就是我们近期观察到的一起,被感染设备IP来自多个云供应商平台的安全事件。 2021年7月14日,360BotMon系统发现一个未知的ELF文件(a14d0188e2646d236173b230c59037c7)产生了大量扫描流量,经过分析,我们确定这是一个Go语言实现的Scanner,基于其源码路径中"abc-hello"字串,我们内部将它命名为Abcbot。
发布时间:2021-11-09 18:09 | 阅读:101700 | 评论:0 | 标签:DDoS Miner Golang Botnet DGA 僵尸网络 网络

一个藏在我们身边的巨型僵尸网络 Pink

本文完成于2020年春节前后,为维护广大最终消费者的利益,一直处于保密期无法发表。近日 CNCERT 公开披露了相关事件,令本文有了公开契机。在保密期的这段时间里,Pink 也出现一些新的小变动,笔者筛选了其中一部分放到“新动向”章节,供其他同仁共同追踪研究。 概述 2019年11月21日,安全社区的信任伙伴给我们提供了一个全新的僵尸网络样本,相关样本中包含大量以 pink 为首的函数名,所以我们称之为 PinkBot。 Pinkbot 是我们六年以来观测到最大的僵尸网络,其攻击目标主要是 mips 光猫设备,在360Netlab的独立测量中,总感染量超过160万,其中 96% 位于中国。
发布时间:2021-10-26 12:49 | 阅读:119112 | 评论:0 | 标签:Botnet IoT Botnet IoT 0-day GPON IOC 僵尸网络 网络

窃密者Facefish分析报告

背景介绍 2021年2月,我们捕获了一个通过CWP的Nday漏洞传播的未知ELF样本,简单分析后发现这是一个新botnet家族的样本。它针对Linux x64系统,配置灵活,并且使用了一个基于Diffie–Hellman和Blowfish的私有加密协议。但因为通过合作机构(在中国区有较好网络通信观察视野)验证后发现对应的C2通信命中为0,所以未再深入分析。 2021年4月26号,Juniper发布了关于此样本的分析报告,我们注意到报告中忽略了一些重要的技术细节,所以决定将漏掉的细节分享出来。
发布时间:2021-05-28 15:15 | 阅读:90095 | 评论:0 | 标签:Backdoor Botnet

Analysis report of the Facefish rootkit

Background In Feb 2021, we came across an ELF sample using some CWP’s Ndays exploits, we did some analysis, but after checking with a partner who has some nice visibility in network traffic in some
发布时间:2021-05-27 23:22 | 阅读:63413 | 评论:0 | 标签:Backdoor Botnet

“双头龙”源自海莲花组织?

我们的双头龙blog发布后引起了较大反响,除了媒体转载,一些安全同行还纷纷在我们blog下面留言和提问,其中5月4号的一则留言提到双头龙跟海莲花(OceanLotus)样本的C2行为有联系: 留言所提到的样本为一个zip打包文件,2016年就已出现。该zip可以解压出多个文件,那个名为Noi dung chi tiet(对应中文详细信息)的Mach-O格式可执行文件即是海莲花样本。对比分析显示该样本确实与双头龙样本存在多个相似之处,所以它们或许可以解开双头龙的身世之谜:它极可能是海莲花的Linux版本。本文主要从2进制代码层面介绍这些相似点。
发布时间:2021-05-06 21:58 | 阅读:131379 | 评论:0 | 标签:Botnet RotaJakiro OceanLotus Backdoor Linux APT

RotaJakiro, the Linux version of the OceanLotus

On Apr 28, we published our RotaJakiro backdoor blog, at that time, we didn’t have the answer for a very important question, what is this backdoor exactly for? We asked the community for clues and t
发布时间:2021-05-06 21:58 | 阅读:89883 | 评论:0 | 标签:Botnet RotaJakiro OceanLotus Backdoor Linux APT linux

Threat Alert: New update from Sysrv-hello, now infecting victims‘ webpages to push malicious exe to end users

Overview From the end of last year to now, we have see the uptick of the mining botnet families. While new families have been popping up, some old ones are get frequently updated. Our BotMon system ha
发布时间:2021-04-29 18:05 | 阅读:163516 | 评论:0 | 标签:sysrv sysrv-hello crypto-mining Botnet iframe

威胁快讯:Sysrv-hello再次升级,通过感染网页文件提高传播能力

版权 版权声明: 本文为Netlab原创,依据 CC BY-SA 4.0 许可证进行授权,转载请附上出处链接及本声明。 概述 从去年末到现在,挖矿类型的botnet家族一直活跃,除了新家族不断出现,一些老家族也频繁升级,主要是为了提高传播能力和隐蔽性,我们的 BotMon 系统对此多有检测[rinfo][z0miner]。最新的案例来自Sysrv-hello,本来近期已经有2家安全公司先后分析过该家族的新变种[1][2],但文章刚出来sysrv的作者就在4月20号再次进行升级,增加了感染网页的能力,本文对此做一分析。
发布时间:2021-04-28 23:33 | 阅读:127257 | 评论:0 | 标签:sysrv sysrv-hello Miner crypto mining Botnet iframe ldr.sh a

Fbot is now riding the traffic and transportation smart devices

Background Fbot, a botnet based on Mirai, has been very active ever sine we first blogged about it here[1][2], we have seen this botnet using multiple 0 days before(some of them we have not disclosed
发布时间:2021-03-03 22:56 | 阅读:283454 | 评论:0 | 标签:Botnet CVE-2020-9020 fbot Internet of Vehicles

Fbot僵尸网络正在攻击交通和运输智能设备

背景介绍 Fbot是一个基于Mirai的僵尸网络,它一直很活跃,此前我们曾多次披露过该僵尸网络[1][2]。我们已经看到Fbot僵尸网络使用了多个物联网(Internet of things)设备的N-day漏洞和0-day漏洞(部分未披露),现在它正在攻击车联网(Internet of Vehicles)领域的智能设备,这是一个新现象。 2021年2月20号,360网络安全研究院未知威胁检测系统监测到攻击者正在使用美国Iteris, Inc.公司的Vantage Velocity产品的远程命令执行漏洞(CVE-2020-9020)[3][4],传播Fbot僵尸网络样本。
发布时间:2021-03-03 12:38 | 阅读:212419 | 评论:0 | 标签:Botnet CVE-2020-9020 fbot Internet of Vehicles 攻击 僵尸网络 智能

Rinfo Is Making A Comeback and Is Scanning and Mining in Full Speed

Overview In 2018 we blogged about a scanning&mining botnet family that uses ngrok.io to propagate samples: "A New Mining Botnet Blends Its C2s into ngrok Service ", and since
发布时间:2021-02-10 22:15 | 阅读:361001 | 评论:0 | 标签:rinfo Botnet Malware bash ngrok scanner Confluence vBulletin

Quick update on the Linux.Ngioweb botnet, now it is going after IoT devices

Background On June 21, 2019, we published a blog about a Proxy Botnet, Linux.Ngioweb. On August 4, 2020, we captured a batch of ELF files with zero VT detection, which are variants of Ngioweb.And we j
发布时间:2020-11-13 15:53 | 阅读:834172 | 评论:0 | 标签:Botnet Proxy Linux.Ngioweb Botnet linux

Linux.Ngioweb变种正在攻击IOT设备

背景介绍 2019年6月21日,我们向社区公布了一个新的Proxy Botnet,Linux.Ngioweb的分析报告。 2020年8月4日,360Netlab未知威胁检测系统捕获到一批VT零检测的疑似Ngioweb的ELF文件,经分析,我们确定它们属于同一个变种,简单地将其命名为Ngioweb V2。
发布时间:2020-11-12 21:51 | 阅读:178083 | 评论:0 | 标签:Botnet Botnet Proxy IoT Botnet linux 攻击

Ghost in action: the Specter botnet

Background On August 20, 2020, 360Netlab Threat Detect System captured a suspicious ELF file (22523419f0404d628d02876e69458fbe.css)with 0 VT detection. When we took a close look, we see a new botnet t
发布时间:2020-09-25 22:19 | 阅读:204574 | 评论:0 | 标签:Botnet RAT chacha20

幽灵在行动:Specter分析报告

背景 2020年8月20日,360Netlab未知威胁检测系统捕获了一个通过漏洞传播可疑ELF文件(22523419f0404d628d02876e69458fbe.css),其独特的文件名,TLS网络流量以及VT杀软0检出的情况,引起了我们的兴趣。 经过分析,我们确定它是一个配置灵活,高度模块化/插件化,使用TLS,ChaCha20,Lz4加密压缩网络通信,针对AVTECH IP Camera / NVR / DVR 设备的恶意家族,我们捕获的ELF是Dropper,会释放出一个Loader,而Loader则会通过加密流量向C2请求各种Plugin以实现不同的功能。
发布时间:2020-09-25 17:12 | 阅读:168197 | 评论:0 | 标签:IoT Malware RAT chacha20 Botnet

The new Bigviktor Botnet is Targeting DrayTek Vigor Router

Overview On June 17, 2020, 360Netlab Threat Detecting System flagged an interesting ELF sample (dd7c9d99d8f7b9975c29c803abdf1c33), further analysis shows that this is a DDos Bot program that propagate
发布时间:2020-07-11 00:34 | 阅读:171103 | 评论:0 | 标签:DDoS DGA Botnet

千面人:Bigviktor 分析报告

概览 2020年6月17日,360Netlab未知威胁检测系统发现一个低检测率的可疑ELF文件(dd7c9d99d8f7b9975c29c803abdf1c33),目前仅有一款杀毒引擎检测识别;同时流量检测系统将其产生的部分流量标注了疑似DGA,这引起了我们的注意。经过详细分析,我们确定这是一个通过CVE-2020-8515漏洞传播,针对DrayTek Vigor路由器设备,拥有DGA特性,主要功能为DDos攻击的新僵尸网络的Bot程序。
发布时间:2020-07-10 15:26 | 阅读:228656 | 评论:0 | 标签:Botnet DDoS DGA

An Update for a Very Active DDos Botnet: Moobot

Overview Moobot is a Mirai based botnet. We first discovered its activity in July 2019. Here is our log about it[0]. And ever since then, its sample updates, DDoS attacks and other activities have nev
发布时间:2020-07-10 01:44 | 阅读:186205 | 评论:0 | 标签:0-day DDoS Botnet ddos

黑帝公告 📢

永久免费持续更新精选优质黑客技术文章Hackdig,帮你成为掌握黑客技术的英雄

标签云 ☁

本页关键词 💎