July 1, 2019

Godlua Backdoor分析报告

背景介绍 2019年4月24号,360Netlab未知威胁检测系统发现一个可疑的ELF文件,目前有一部分杀软误识别为挖矿程序。通过详细分析,我们确定这是一款Lua-based Backdoor,因为这个样本加载的Lua字节码文件幻数为“God”,所以我们将它命名为Godlua Backdoor。 Godlua Backdoor会使用硬编码域名,Pastebin.com,GitHub.com和DNS TXT记录等方式,构建存储C2地址的冗余机制。同时,它使用HTTPS加密下载Lua字节码文件,使用DNS over HTTPS获取C2域名解析,保障Bot与Web Server和C2之间的安全通信。 我们观察到Godlua Backdoor实际上存在2个版本,并且有在持续更新。我们还观察到攻击者会通过Lua指令,动态运行Lua代码,并对一些网站发起HTTP Flood 攻击。 概览 目前,我们看到的Godlua Backdoor主要存在2个版本,201811051556版本是通过遍历Godlua下载服务器得到,我们没有看到它有更新。当前Godlua Backdoor活跃版本为20190415103713 ~ 2019062117473,并且它还在持续更新。它们都是通过C语言开发实现的Backdoor,不过后者能够适应更多的计算机平台以及支持更多的功能,以下是它们的详细对比图。 Godlua Backdoor逆向分析 version 201811051556 这是我们发现Godlua Backdoor […]
July 8, 2019

The DGA of Pitou

The domain generation algorithm (DGA) of Pitou runs in kernel mode and is protected by a virtual machine, which makes it the hardest DGA I have […]
August 2, 2019

一些Fiberhome路由器正在被利用为SSH隧道代理节点

背景介绍 2019年7月24号,360Netlab未知威胁检测系统发现一个可疑的ELF文件,目前在VirusTotal上还没有一款杀毒引擎检测识别。通过详细分析,我们确定这是一款针对Fiberhome路由器设备Reporter程序。它会定时获取设备IP等信息并上传给一个Web接口,以此来解决设备IP变更的问题。 我们还观察到攻击者在Windows和Linux平台上开发了相应的客户端程序,通过访问Web接口获取Reporter上报的设备IP等信息,然后使用一些预留的后门账号密码建立SSH隧道(Dynamic Port Forwarding),并在本地创建Socks5代理服务。我们根据攻击者使用的域名,将这些恶意软件统一命名为Gwmndy。 此外,与其他Botnet不同的是,攻击者并没有持续扩张Bot数量,我们猜测对于攻击者来说每天有180多个活跃的SSH隧道代理节点就已经满足他的需求了。 Gwmndy概览 Gwmndy恶意软件主要包括vpn.sh脚本,Reporter和SSH Client程序,并且通过一个Web服务器给它们提供相应的Web接口,用来传输Bot IP等相关信息。 Gwmndy样本分析 vpn.sh样本信息 MD5: d13935ff515ffdb0682dfaad0f36419d POSIX shell script text executable, ASCII text 我们从Gwmndy Web服务器上下载到vpn.sh脚本,通过它的脚本命令,我们猜测它是Gwmndy的启动程序。 我们可以清晰地看到攻击者会在目标设备上运行dropbear程序,并将启动命令加入到/fh/extend/userapp.sh文件中,以此来实现自启动功能。它还会篡改shadow文件增加后门账号密码,并且运行vpnip和rinetd程序(一个开源的端口转发程序)。 #!/bin/sh if […]
August 2, 2019

Some Fiberhome routers are being utilized as SSH tunneling proxy nodes

Background introduction On July 24, 2019, our Unknown Threat Detection System highlighted a suspicious ELF file with 0 VirusTotal detection. When we further looked into it, […]