July 6, 2020

The Gafgyt variant vbot seen in its 31 campaigns

Overview Gafgyt botnets have a long history of infecting Linux devices to launch DDoS attacks. While dozens of variants have been detected, new variants are constantly […]
July 9, 2020

那些年我们一起追过的僵尸网络之Moobot

概述 Moobot是一个基于Mirai开发的僵尸网络,我们最早发现其活动在2019年7月,这里有一篇我们关于Moobot的文章,感兴趣的读者可以去阅读[0]。 2019年8月起我们开始对其进行跟踪,在这将近一年的时间其样本更新、DDoS攻击等活动从未间断过。其最近参加了一次我们不方便透露的重大DDoS攻击活动,又一次成功引起了我们的注意。所以决定来扒一扒它的前世今生。 样本传播 Moobot样本主要通过Telnet弱口令和利用nday,0day[1][2]漏洞传播,我们观察到的Moobot利用的漏洞如下: Vulnerability Affected Aevice HiSilicon DVR/NVR Backdoor Firmware for Xiaongmai-based DVRs, NVRs and IP cameras CVE-2020-8515 DrayTek Vigor router JAWS Webserver unauthenticated […]
July 9, 2020

An Update for a Very Active DDos Botnet: Moobot

Overview Moobot is a Mirai based botnet. We first discovered its activity in July 2019. Here is our log about it[0]. And ever since then, its […]
July 10, 2020

千面人:Bigviktor 分析报告

概览 2020年6月17日,360Netlab未知威胁检测系统发现一个低检测率的可疑ELF文件(dd7c9d99d8f7b9975c29c803abdf1c33),目前仅有一款杀毒引擎检测识别;同时流量检测系统将其产生的部分流量标注了疑似DGA,这引起了我们的注意。经过详细分析,我们确定这是一个通过CVE-2020-8515漏洞传播,针对DrayTek Vigor路由器设备,拥有DGA特性,主要功能为DDos攻击的新僵尸网络的Bot程序。因为传播过程中使用的”viktor”文件名(/tmp/viktor)以及样本中的0xB16B00B5(big boobs)字串,我们将其命名为Bigviktor。 从网络层面来看,Bigviktor遍历DGA每月产生的1000个随机域名,通过请求RC4加密&ECSDA256签名的s.jpeg来确认当前存活的有效C2,然后向C2请求image.jpeg,执行具体的任务;从功能层面来看,Bigviktor支持8种指令,可以分成2大功能 DDoS攻击 自更新 其整体网络结构如图所示, Botnet规模 日活Bot DGA是双刃剑,在给作者逃避检测的同时,也给了安全人员机会抢注域名从而劫持僵尸网络的感染主机,我们注册了几个Bigviktor在6月份和7月份生成的域名(workfrequentsentence.club, waitcornermountain.club),用来统计该Botnet的规模,目前我们观察到有900个左右的IP被感染。但从Bigviktor DGA域名的访问情况看目前其规模正在稳步扩张中。其日活跃Bot趋势入下图所示: Bot地理位置分布 被感染的设备IP区域分布如下: 这些IP的主要ASN分布如下: 412 AS45899|VNPT_Corp 194 AS7552|Viettel_Group 190 AS18403|The_Corporation_for_Financing_&_Promoting_Technology 90 AS3462|Data_Communication_Business_Group 82 AS15525|Servicos_De_Comunicacoes_E_Multimedia_S.A. […]