安全客
我们注意到一个新的蠕虫正在清理 adb.miner。在完成了清理动作后,该蠕虫会等待来自C2的下一步指令。该C2域名的解析,需要通过emercoin.com利用区块链DNS系统完成。我们将该蠕虫命名为fbot。
时下各种挖矿软件如雨后春笋层出不穷,通常我们都忽略他们。但这个利用ngrok生成大量随机域名作为Downloader和Report域名,对抗安全设施阻断其域名,隐藏真实服务器地址的挖矿恶意样本成功引起了我们的注意。
从2018-08-09至今,我们对CVE-2018-14847在全网的分布和利用做了多轮精确度量。每次发起度量时,我们严格遵循Winbox协议发起通信,因此可以精确确认通信对端就是MikroTik 路由器。
2018-06-14,我们注意到 Satori 的作者开始扫描收集 uc-httpd 1.0.0 设备的IP地址列表。这或许是为了针对4月公开的脆弱性 XiongMai uc-httpd 1.0.0 (CVE-2018-10088) 在做准备。
友商发布了一个威胁分析报告,我们阐述一下从我们的角度看到的情况。
我们想办一个这样的沙龙:核心关注从数据维度威胁分析怎么做;纯技术议题,没废话没水分;能动手实际操作,有问题现场提、现场解答和演练;能接触到360Netlab内部的工具,百亿级数据资源24小时访问权限
这场GPON的聚会看起来不会结束了,TheMoon僵尸网络也开始加入了,文中增加了相关的描述。特别值得说明,TheMoon所使用的攻击漏洞此前并没有披露过,看起来像是个 0day,我们选择不公开攻击载荷的详细内容。
我们在之前的 文章 里提及,在本次GPON漏洞(CVE-2018-10561,CVE-2018-10562)公布以来,10天内已经有至少5个僵尸网络家族在积极利用该漏洞构建其僵尸军团,包括 mettle、muhstik、mirai、hajime、satori等等。
自从本次GPON漏洞公布以来,10天内已经有至少5个僵尸网络家族在积极利用该漏洞构建其僵尸军团,包括 mettle、muhstik、mirai、hajime、satori。时间之短、参与者之多,在以往IoT僵尸网络发展中并不多见。
北京时间3月25日0点前后,互联网上8291端口出现大量扫描告警。下午2点左右,蜜罐数据显示该告警可能和 Hajime 有关,初步判断(UPX壳特有幻数+脱壳后样本特征)后,确认该样本为Hajime样本。
加载更多
勋章成就
稿费总计 0
发表文章 32
参与讨论 0
关注
0
粉丝
10