安全客
360Netlab在2018年9月注意到一个新的僵尸网络。该僵尸网络的感染数量特别巨大,每个扫描波次中活跃的IP地址为10万左右,值得引起安全社区的警惕。
从2018年9月20号开始,360Netlab Anglerfish蜜罐系统监测到互联网上有大量IP正在针对性地扫描路由器系统。
我们注意到一个新的蠕虫正在清理 adb.miner。在完成了清理动作后,该蠕虫会等待来自C2的下一步指令。该C2域名的解析,需要通过emercoin.com利用区块链DNS系统完成。我们将该蠕虫命名为fbot。
时下各种挖矿软件如雨后春笋层出不穷,通常我们都忽略他们。但这个利用ngrok生成大量随机域名作为Downloader和Report域名,对抗安全设施阻断其域名,隐藏真实服务器地址的挖矿恶意样本成功引起了我们的注意。
从2018-08-09至今,我们对CVE-2018-14847在全网的分布和利用做了多轮精确度量。每次发起度量时,我们严格遵循Winbox协议发起通信,因此可以精确确认通信对端就是MikroTik 路由器。
2018-06-14,我们注意到 Satori 的作者开始扫描收集 uc-httpd 1.0.0 设备的IP地址列表。这或许是为了针对4月公开的脆弱性 XiongMai uc-httpd 1.0.0 (CVE-2018-10088) 在做准备。
友商发布了一个威胁分析报告,我们阐述一下从我们的角度看到的情况。
我们想办一个这样的沙龙:核心关注从数据维度威胁分析怎么做;纯技术议题,没废话没水分;能动手实际操作,有问题现场提、现场解答和演练;能接触到360Netlab内部的工具,百亿级数据资源24小时访问权限
这场GPON的聚会看起来不会结束了,TheMoon僵尸网络也开始加入了,文中增加了相关的描述。特别值得说明,TheMoon所使用的攻击漏洞此前并没有披露过,看起来像是个 0day,我们选择不公开攻击载荷的详细内容。
我们在之前的 文章 里提及,在本次GPON漏洞(CVE-2018-10561,CVE-2018-10562)公布以来,10天内已经有至少5个僵尸网络家族在积极利用该漏洞构建其僵尸军团,包括 mettle、muhstik、mirai、hajime、satori等等。
加载更多
勋章成就
稿费总计 0
发表文章 34
参与讨论 0
关注
0
粉丝
12