Everything you care about in one place
Follow feeds: blogs, news, RSS and more. An effortless way to read and digest content of your choice.
Get Feederblog.netlab.360.com
Netlab Blog - Network Security Research Lab Blog
Get the latest updates from Netlab Blog - Network Security Research Lab Blog directly as they happen.
Follow now 101 followers
Latest posts
Last updated 11 months ago
僵尸网络911 S5的数字遗产
11 months ago
概述2024年5月29日,美国司法部发布通告,声称其执法活动摧毁了"史上最大的僵尸网络" 911 S5,查封了相关域名,并且逮捕了其管理员YunHe Wang。Wang及其同伙通过创建并分发包含恶意代码的免费VPN程序感染用户,并且在名为911 S5的住宅代理服务中出售对被感染设备构成的代理网络的访问权。按照360威胁情报中心的分析,911S5从2014年开始运营,到2022年7月关停,在2023年10月又摇身一变,化名CloudRouter继续其肮脏生意,终于在2024年5月被多国联合执法摧毁。911S5的僵尸网络运行时间长、涉及多个国家的19M个IP地址、行为高调,虽然经过执法行动后大势已去,但是其数字遗产仍然对网络空间构成了现实且显著的威胁,下文是我们对威胁分析的结果。“空手套白狼”的911 S5911S5出售的代理服务背后是数千万被感染的设备。受害者主动或被动下载捆绑了恶意代码的软件、免费VPN程序等。在程序启动后,恶意代码将会创建持久化服务作为后门,为911S5客户提供代理服务。在2023年以前,911S5使用的免费VPN包括:ProxyGate、MaskVPN、DewVPN与ShineVPN。我们观察到最早出现的VPN程序是ProxyGate,在2016年至2020年间活跃。911S5与VPN程序的强关联共同的基础设施将911S5与一众免费VPN关联起来的关键性证据就是它们共用了一部分基础设施。我们注意到,911.re、searchsafe.com、maskvpn.org、proxygate、911.gg、dewvpn.com的电子邮件服务都曾被解析到同一个服务器:173.244.211.96,证明911S5和特定免费VPN程序拥有共同的运营者。更多数据,请查看最后一部分"共用IP"。相似的样本行为MaskVPN、DewVPN以及ShineVPN拥有相似的编码方式、进程链结构:MaskVPN进程链DewVPN进程链“死而复生”的CloudRouter2022年7月,911S5的运营者停止了911S5的服务,但是它们也并未蛰伏太长时间。2023年2月,911S5的继任者CloudRouter被研究人员发现;10月,CloudRouter正式发布,提供类似911S5的住宅服务,它使用PaladinVPN、Shield VPN感染设备并继续构建代理网络,我们确认这是换汤不换药的911S5。CloudRouter,换汤不换药共用基础设施与911S5类似,cloudrouter.pro、paladinvpn.com、shieldvpn.org的电子邮件服务解析到了相同的服务器:209.126.108.53。更多数据,请查看最后一部分"共用IP"。样本的强关联CloudRouter使用的PaladinVPN、ShineVPN的编码方式、进程链与MaskVPN、DewVPN高度相似。PaladinVPN进程链根据美国法院的扣押文件,在2023年8月份,分析人员观察到了从MaskVPN到ShieldVPN的升级,该文件声称ShieldVPN、PaladinVPN与reachfresh.com通信,并从updatepanel.cc&upgradeportal.org接受更新指令。PaladinVPN的推广域名我们注意到,有150+个推广域名都解析到了同一个地址148.72.152.203 ,如:soccerstreamingvpn.com freevpnlebanon.com freevpnhongkong.com freevpncuba.com freevpnghana.com这些站点的内容诱导访问者前往PaladinVPN相关的页面。美国法院的一份扣押文件声称,它们确定这是由Wang的一名同谋所为。域名热度我们分析了911S5相关域名的热度并绘制了折线图,其中纵轴表示热度值,范围为[0,10],横轴表示时间。域名热度折线图容易发现,大部分域名的热度值在[2,4],911.re、911s5.com两个域名热度较高,911.re在热度最高时接近6。IOC域名proxygate.net...
Heads up! Xdr33, A Variant Of CIA’s HIVE Attack Kit Emerges
over 2 years ago
Overview On Oct 21, 2022, 360Netlab's honeypot system captured a suspicious ELF...
警惕:魔改后的CIA攻击套件Hive进入黑灰产领域
over 2 years ago
概述 2022年10月21日,360Netlab的蜜罐系统捕获了一个通过F5漏洞传播,VT 0检测的可疑ELF文件ee07a74d12c0bb3594965b51d0e45b6f,流量监控系统提示它和IP45.9.150.144产生了SSL流量,而且双方都使用了伪造的Kaspersky证书,这引起了我们的关注。经过分析,我们确认它由CIA被泄露的Hive项目server源码改编而来。这是我们首次捕获到在野的CIA HIVE攻击套件变种,基于其内嵌Bot端证书的CN=xdr33, 我们内部将其命名为xdr33。关于CIA的Hive项目,互联网中有大量的源码分析的文章,读者可自行参阅,此处不再展开。 概括来说,xdr33是一个脱胎于CIA Hive项目的后门木马,主要目的是收集敏感信息,为后续的入侵提供立足点。从网络通信来看,xdr33使用XTEA或AES算法对原始流量进行加密,并采用开启了Client-Certificate Authentication模式的SSL对流量做进一步的保护;从功能来说,主要有beacon,trigger两大任务,其中beacon是周期性向硬编码的Beacon C2上报设备敏感信息,执行其下发的指令,而trigger则是监控网卡流量以识别暗藏Trigger C2的特定报文,当收到此类报文时,就和其中的Trigger C2建立通信,并等待执行下发的指令。 功能示意图如下所示:...
快讯:使用22个漏洞传播的DDoS家族WSzero已经发展到第4个版本
over 2 years ago
概述 近期,我们的BotMon系统连续捕获到一个由Go编写的DDoS类型的僵尸网络家族,它用于DDoS攻击,使用了包括SSH/Telnet弱口令在内的多达22种传播方式。短时间内出现了4个不同的版本,有鉴于此,我们觉得该家族未来很可能继续活跃,值得警惕。下面从传播、样本和跟踪角度分别介绍。 传播分析 除了Telnet/SSH弱口令,我们观察到wszero还使用了如下21个漏洞进行传播: VULNERABILITY AFFECTED CVE_2014_08361 Realtek SDK CVE_2017_17106 Zivif Webcams...
P2P Botnets: Review - Status - Continuous Monitoring
over 2 years ago
Origins P2P networks are more scalable and robust than traditional C/S structures...
P2P Botnets: Review - Status - Continuous Monitoring
over 2 years ago
Origins P2P networks are more scalable and robust than traditional C/S structures...
P2P Botnets: Review - Status - Continuous Monitoring
over 2 years ago
Origins P2P networks are more scalable and robust than traditional C/S structures...
P2P 僵尸网络:回顾·现状·持续监测
over 2 years ago
缘起 P2P结构的网络比传统的C/S结构具有更好的可扩展性和健壮性,这些优点很早就为botnet的作者所认识到并被用到他们的僵尸网络中。从时间上看,2007年出现的Storm可以算是这方面的鼻祖,那时botnet这种网络威胁刚为大众所知。Storm之后,陆续又有Karen、ZeroAccess、GameOver、Hijime、mozi等20来种P2P botnet先后出现,它们在技术上各有特点,共同点就是规模大、防御难度大,想让它们彻底消失比较困难,比如Mozi在作者已经明确放弃甚至被抓几年之后还在活跃,可谓“百足之虫死而不僵”。 早期的P2P botnet主要针对Windows机器,比如Storm、ZeroAccess以及GameOver感染的都是Windows操作系统。2016年Mirai出现之后,网络上那些大量存在而又缺乏防御的Linux IoT设备开始成为许多botnet的目标,Hijime、mozi、pink等针对Linux设备的P2P botnet陆续出现。 由于P2P网络“无中心”的特点,使用传统的手段来评估其规模有点困难。为了解决这个问题,安全研究人员另辟蹊径,发明了P2P爬虫技术,通过它来跟踪某个P2P botnet,获取节点IP以及下载链接和配置等信息,用于规模评估和定点清除。 360 Netlab致力于及时发现和跟踪大网上活跃的botnet,对P2P僵尸网络当然不会放过,比如我们19年首先公开分析了mozi僵尸网络。为了更好的“看见”威胁,我们基于自身的积累以及业内已有的分析结果构建了一个针对P2P Botnet的工业级别跟踪系统,目标是覆盖所有活跃的P2P...
P2P 僵尸网络:回顾·现状·持续监测
over 2 years ago
缘起 P2P结构的网络比传统的C/S结构具有更好的可扩展性和健壮性,这些优点很早就为botnet的作者所认识到并被用到他们的僵尸网络中。从时间上看,2007年出现的Storm可以算是这方面的鼻祖,那时botnet这种网络威胁刚为大众所知。Storm之后,陆续又有Karen、ZeroAccess、GameOver、Hijime、mozi等20来种P2P botnet先后出现,它们在技术上各有特点,共同点就是规模大、防御难度大,想让它们彻底消失比较困难,比如Mozi在作者已经明确放弃甚至被抓几年之后还在活跃,可谓“百足之虫死而不僵”。 早期的P2P botnet主要针对Windows机器,比如Storm、ZeroAccess以及GameOver感染的都是Windows操作系统。2016年Mirai出现之后,网络上那些大量存在而又缺乏防御的Linux IoT设备开始成为许多botnet的目标,Hijime、mozi、pink等针对Linux设备的P2P botnet陆续出现。 由于P2P网络“无中心”的特点,使用传统的手段来评估其规模有点困难。为了解决这个问题,安全研究人员另辟蹊径,发明了P2P爬虫技术,通过它来跟踪某个P2P botnet,获取节点IP以及下载链接和配置等信息,用于规模评估和定点清除。 360 Netlab致力于及时发现和跟踪大网上活跃的botnet,对P2P僵尸网络当然不会放过,比如我们19年首先公开分析了mozi僵尸网络。为了更好的“看见”威胁,我们基于自身的积累以及业内已有的分析结果构建了一个针对P2P Botnet的工业级别跟踪系统,目标是覆盖所有活跃的P2P...
P2P 僵尸网络:回顾·现状·持续监测
over 2 years ago
缘起 P2P结构的网络比传统的C/S结构具有更好的可扩展性和健壮性,这些优点很早就为botnet的作者所认识到并被用到他们的僵尸网络中。从时间上看,2007年出现的Storm可以算是这方面的鼻祖,那时botnet这种网络威胁刚为大众所知。Storm之后,陆续又有Karen、ZeroAccess、GameOver、Hijime、mozi等20来种P2P botnet先后出现,它们在技术上各有特点,共同点就是规模大、防御难度大,想让它们彻底消失比较困难,比如Mozi在作者已经明确放弃甚至被抓几年之后还在活跃,可谓“百足之虫死而不僵”。 早期的P2P botnet主要针对Windows机器,比如Storm、ZeroAccess以及GameOver感染的都是Windows操作系统。2016年Mirai出现之后,网络上那些大量存在而又缺乏防御的Linux IoT设备开始成为许多botnet的目标,Hijime、mozi、pink等针对Linux设备的P2P botnet陆续出现。 由于P2P网络“无中心”的特点,使用传统的手段来评估其规模有点困难。为了解决这个问题,安全研究人员另辟蹊径,发明了P2P爬虫技术,通过它来跟踪某个P2P botnet,获取节点IP以及下载链接和配置等信息,用于规模评估和定点清除。 360 Netlab致力于及时发现和跟踪大网上活跃的botnet,对P2P僵尸网络当然不会放过,比如我们19年首先公开分析了mozi僵尸网络。为了更好的“看见”威胁,我们基于自身的积累以及业内已有的分析结果构建了一个针对P2P Botnet的工业级别跟踪系统,目标是覆盖所有活跃的P2P...
Fodcha Is Coming Back, Raising A Wave of Ransom DDoS
over 2 years ago
Background On April 13, 2022, 360Netlab first disclosed the Fodcha botnet. After...
Fodcha Is Coming Back, Raising A Wave of Ransom DDoS
over 2 years ago
Background On April 13, 2022, 360Netlab first disclosed the Fodcha botnet. After...