News Reporter

December 5, 2019

AA19-339A: Dridex Malware

Original release date: December 5, 2019 Summary This Alert is the result of recent collaboration between Department of the Treasury Financial Sector Cyber Information Group (CIG) […]
November 20, 2019

The awaiting Roboto Botnet

Background introduction On August 26, 2019, our 360Netlab Unknown Threat Detection System highlighted a suspicious ELF file (4cd7bcd0960a69500aa80f32762d72bc) and passed along to our researchers to take […]
November 20, 2019

潜伏者:Roboto Botnet 分析报告

背景介绍 2019年8月26号,360Netlab未知威胁检测系统发现一个可疑的ELF文件(4cd7bcd0960a69500aa80f32762d72bc),目前在VirusTotal上显示仅有2款杀毒引擎检测识别。通过详细分析,我们确定这是一款基于P2P通信的Bot程序,并对它保持关注。 2019年10月11号,我们通过Anglerfish蜜罐捕获到另一个可疑的ELF样本(4b98096736e94693e2dc5a1361e1a720),并且正是那个可疑的ELF样本的Downloader。这个Downloader样本会从2个硬编码的HTTP链接中下载Bot程序,其中一个下载地址把这个Bot样本伪装成Google的一个字体库“roboto.ttc”,所以我们将这个Botnet命名为Roboto。 我们已经持续关注了Roboto Botnet近3个月的时间,并在本文披露它的一些技术特征。 Roboto Botnet概览 目前,我们捕获到了Roboto Botnet的Downloader和Bot模块。根据它的传播方式和Bot样本特征,我们推测它还存在漏洞扫描模块和P2P控制模块。Roboto Botnet主要支持7种功能:反弹Shell,自卸载,获取进程网络信息,获取Bot信息,执行系统命令,运行指定URL中的加密文件,DDoS攻击等。同时,它还使用Curve25519,Ed25519,TEA,SHA256,HMAC-SHA256等算法来保证自身组件和P2P网络的完整性和安全性,根据目标系统创建相应的Linux自启动脚本,并伪装自身的文件和进程名来实现持久化控制。 我们认为Roboto Botnet虽然具备DDoS功能,但是它并不是以DDoS为主要目的。我们也还没有捕捉到它的DDoS攻击指令,虽然从逆向样本分析的角度上看到Bot支持7种功能,但是我们也还不清楚它的真实目的。 传播方式 2019年10月11号,我们通过Anglerfish蜜罐观察到51.38.200.230通过Webmin RCE漏洞(CVE-2019-15107)传播Roboto Downloader样本4b98096736e94693e2dc5a1361e1a720,其下载URL为http://190.114.240.194/boot,以下为漏洞利用Payload。 POST /password_change.cgi HTTP/1.1 Host: {target}:10000 User-Agent: Go-http-client/1.1 Accept: */* Referer: […]
November 11, 2019

The DGA of QSnatch

QSnatch is a malware that infects QNAP NAS devices. It collects and exfiltrates user credentials from vulnerable devices, and can also load malicious code from its […]