News Reporter

September 25, 2020

Ghost in action: the Specter botnet

Background On August 20, 2020, 360Netlab Threat Detect System captured a suspicious ELF file (22523419f0404d628d02876e69458fbe.css)with 0 VT detection. When we took a close look, we see […]
September 25, 2020

幽灵在行动:Specter分析报告

背景 2020年8月20日,360Netlab未知威胁检测系统捕获了一个通过漏洞传播可疑ELF文件(22523419f0404d628d02876e69458fbe.css),其独特的文件名,TLS网络流量以及VT杀软0检出的情况,引起了我们的兴趣。 经过分析,我们确定它是一个配置灵活,高度模块化/插件化,使用TLS,ChaCha20,Lz4加密压缩网络通信,针对AVTECH IP Camera / NVR / DVR 设备的恶意家族,我们捕获的ELF是Dropper,会释放出一个Loader,而Loader则会通过加密流量向C2请求各种Plugin以实现不同的功能。样本build路径为/build/arm-specter-linux-uclibcgnueabi,所以我们命名为Specter。 目前来看,Specter有很多不专业的地方,比如,它在释放Loader的同时也释放2个运行时所需要的库,但它们都是dynamically linked。又如下载的Plugin落在文件上再加载而不是在内存中直接展开加载。而且Dropper的传播是利用5年旧的老漏洞;但是在另外一方面,它有良好的分层设计,复杂的网络通信等特性,这显然是专业级玩家的作品。专业伴随着不专业,这一矛盾点使我们推测Specter正处于测试开发阶段。 概览 Specter由Dropper,Loader,Plugin 3大部分组成,主要功能由Loader&Plugin决定,根据我们目前捕获的Plugin,可以将Specter定性为,一款针对Linux平台的远程控制木马(RAT)。 Specter的主要功能有 文件管理 下载上传管理 Shell服务 Socket5 Proxy 上报设备信息 执行C2下发的脚本 执行C2下发可执行文件 基本流程如下图所示, 传播方式 […]
September 22, 2020

AA20-266A: LokiBot Malware

Original release date: September 22, 2020 Summary This Alert uses the MITRE Adversarial Tactics, Techniques, and Common Knowledge (ATT&CK®) framework. See the ATT&CK for Enterprise frameworks […]
September 15, 2020

AA20-259A: Iran-Based Threat Actor Exploits VPN Vulnerabilities

Original release date: September 15, 2020 Summary This Alert uses the MITRE Adversarial Tactics, Techniques, and Common Knowledge (ATT&CK®) framework. See the ATT&CK for Enterprise framework […]