News Reporter

May 26, 2020

Look at NTP pool using DNS data

With the rapid development of the Internet, more and more people have realized the importance of network infrastructure.  We don’t hear people talk about NTP ( […]
May 26, 2020

从DNS角度看NTP pool服务器的使用

随着互联网的快速发展,其已经深入到日常生活中的方方面面,越来越多的业内人员对于网络基础设施的重要性有了非常深入的认识。不过谈到基础设施,通常都会谈及DNS协议,但是还有一个关键的协议NTP(Network Time Protocol)却没有得到应有的重视。 NTP是否能够良好的工作会影响到计算机系统的大部分基于时间判定的逻辑的正确运行。比如DNSSEC是否过期,IPSEC的隧道建立,TLS证书的有效性校验,个人密码的过期,crontab任务的执行等等[1]。 NTP协议同DNS类似,是互联网最古老的协议之一,主要作用如其名字所说,用来保持设备时间的同步。在我们使用的操作系统比如windows,Android或者Macos都配置有自己的NTP时间服务器来定期同步设备上的时间。 NTP pool 是什么? 由于互联网的发展以及NTP业务的特殊性(时间需要定期同步),少量的NTP服务器的负载越来越大,并且公共一级NTP授时服务器存在被滥用的问题,2003年1月NTP pool项目正式设立。 其基本原理通过域名“pool.ntp.org”基于特定规则划分为多个子域名并在这些子域名上使用DNS轮询来提供所需的服务器IP地址来给客户端使用,这种技术类似于恶意软件所使用的DNS的fastflux技术,不过要早很多。如果读者基于DNS数据做过fastflux的检测,那么对 pool.ntp.org必然不会陌生,它是去噪的主要对象。 关于NTP pool的更多内容请参考这里[2]。 DNSMon DNSMon是360netlab开发的基于海量DNS数据(国内5%左右的DNS流量)并结合whois,web,沙箱,蜜罐等多维度数据,对恶意域名进行综合分析,提取和拦截的安全系统。每天可以产生上千条恶意和高可疑域名黑名单,服务于国内大约2000万用户,并已稳定运行2年半。在无规则前提下,已拦截MSRAMiner,GodLua等十余种挖矿,DDoS等僵尸网络。 从DNS数据看NTP pool业务 NTP pool的这种利用少量域名使用DNS轮询来提供IP地址的服务由于访问量巨大,并且映射到大量的分散的IP地址,在DNSMon 中是非常显眼的存在。 从DNS角度除了能够对NTP pool自身业务规模的评估之外,还可以对互联网业务做到大致的评估,毕竟几乎所有的联网设备都要进行时间同步(从DNSMon的数据来看确实有少量的联网设备存在时间漂移问题,设备数量大概不到总数的万分之二)。 为了准确的评估NTP pool的业务情况,我们从DNSMon中选取了20200519 18:00 […]
May 23, 2020

New activity of DoubleGuns‘ gang, control hundreds of thousands of bots via public cloud service

Overview Recently, our DNS data based threat monitoning system DNSmon flagged a suspicious domain pro.csocools.com. The system estimates the scale of infection may well above hundreds […]
May 23, 2020

双枪团伙新动向,借云服务管理数十万僵尸网络

本文作者:jinye,JiaYu,suqitian,核心安全部研究员THL 概述 近日,我们的域名异常监测系统 DNSMon 捕捉到域名 pro.csocools.com 的异常活动。根据数据覆盖度估算,感染规模超过100k。我们通过告警域名关联到一批样本和 C2,分析样本后发现是与双枪恶意程序相关的团伙开始新的大规模活动。近年来双枪团伙屡次被安全厂商曝光和打击,但每次都能死灰复燃高调复出,可见其下发渠道非常庞大。本次依然是因为受感染主机数量巨大,导致互联网监测数据异常,触发了netlab的预警系统。本报告中我们通过梳理和这些URL相关的C2发现了一些模式,做了一些推测。 我们观察到恶意软件除了使用百度贴吧图片来分发配置文件和恶意软件,还使用了阿里云存储来托管配置文件。为了提高灵活性和稳定性,加大阻拦难度,开发者还利用百度统计这种常见的网络服务来管理感染主机的活跃情况。同时我们在样本中多次发现了腾讯微云的URL地址,有意思的是我们在代码中并没有找到引用这些地址的代码。至此,双枪团伙第一次将BAT三大厂商的服务集成到了自己的程序中,可以预见使用开放服务来管理僵尸网络或将成为流行趋势。有必要澄清的是,这些公开服务本身均为技术中立,此恶意代码中滥用这些公开服务完全是其作者的蓄意行为,各主要互联网公司均在用户许可中明确反对并采取措施抵御这些恶意滥用行为。 5月14日起,我们联系到了百度安全团队,采取了联合行动,对该恶意代码的传播范围做了度量,并采取了抵御措施。截止本文发稿,相关的恶意代码下载链接已经被阻断。百度安全团队对该事件的声明见文末。 IOC关联分析 从告警域名入手,通过DNS解析记录和样本流量分析建立IOC关联,过滤掉孤立和噪音节点,我们找到了一组与此次传播活动有关的关键C2。从下面截取的部分IOC关联图可以看出,几乎所有的域名都和两个关键的ip 地址 125.124.255.20 和 125.124.255.79 有关,围绕这两个ip地址,双枪团伙从19年下半年开始依次启用了一批域名来控制和下发恶意程序。事实上这个团伙长期且稳定的控制了大量 125.124.255.0/24 网段的ip地址,可以看出他们拥有非常丰富的网络资源。 通过样本溯源可以看到,这次大规模感染主要是通过诱导用户安装包含恶意代码的网游私服客户端,具体感染方式大体分为两种,下面进行深入分析。 感染方式1 — 启动器内包含恶意代码 阶段1 — 下载并加载cs.dll恶意文件 […]