hacker-news

August 31, 2020

In the wild QNAP NAS attacks

Author:Yanlong Ma, Genshen Ye, Ye Jin From April 21, 2020, 360Netlab Anglerfish honeypot started to see a new QNAP NAS vulnerability being used to launch attack […]
August 31, 2020

QNAP NAS在野漏洞攻击事件

本文作者:马延龙,叶根深,金晔 背景介绍 2020年4月21号开始,360Netlab未知威胁检测系统监测到有攻击者使用QNAP NAS设备漏洞,攻击我们的Anglerfish蜜罐节点。我们看到这个漏洞PoC并没有在互联网上公布,攻击者在漏洞利用过程中相对谨慎,互联网上也仍有一些未修复漏洞的QNAP NAS设备。因此,我们需要披露这个漏洞攻击事件,并提醒安全社区和QNAP NAS用户,避免受到此类漏洞攻击。 漏洞分析 漏洞类型: 未授权远程命令执行漏洞 漏洞原因: 通过360 FirmwareTotal系统分析,我们发现这个漏洞出现CGI程序/httpd/cgi-bin/authLogout.cgi中。它在处理用户注销登录时,会根据Cookie中字段名称选择相应的注销登录函数。其中QPS_SID,QMS_SID和QMMS_SID注销登录函数未过滤特殊字符即使用snprintf函数拼接curl命令字符串并使用system函数直接执行,所以造成命令注入。 漏洞修复:在2017年7月21号,我们发现QNAP发布固件版本4.3.3修复了这个漏洞。修复后的固件中使用qnap_exec函数替换了原来的system函数。其中qnap_exec函数在/usr/lib/libuLinux_Util.so.0.0中定义,通过调用execv函数执行自定义命令,避免命令注入。 攻击者行为分析 我们共捕获到2个攻击者IP 219.85.109.140和 103.209.253.252使用完全一样的Payload,漏洞攻击成功后会通过wget请求http://165.227.39.105:8096/aaa文件。 这个攻击者不像常规的Botnet一样自动化地植入Bot程序,整个攻击过程看起来也不是完全自动化执行的,根据目前的线索,我们还不清楚攻击者的真实目的。 我们在165.227.39.105:8096下载网站上发现其他2个文本文件.sl和rv。其中.sl文件是2行未知的字符串。 [email protected] IvHVFqkpJEqr|DNWLr rv文件是一个bash反弹shell脚本,控制地址为165.227.39.105,端口为TCP/1234。 此外,我们通过端口探测,发现165.227.39.105运行了SSH,Metasploit,Apache httpd等服务。 Discovered open […]
September 8, 2020

360网络安全研究院杭州开点招聘

团队简介 360网络安全研究院(360Netlab)于2014年成立。不同于传统网络安全主要基于规则,数据分析是团队的主要方向。团队持续专注于DNS和僵尸网络领域,并在领域内保持领先地位。 从2014年开始,团队在DNS方向上建设了国内历史最久、覆盖范围最广的PassiveDNS基础数据库,及其附属其它基础数据库,持续分析产出威胁情报并应用于360网络安全大脑,并在多个DNS领域内的技术会议上做公开报告。在僵尸网络领域内,团队多年来持续致力于发现跟踪僵尸网络活动,披露了包括Mirai、Satori在内的若干重大安全威胁,并因为其中针对Mirai僵尸网络的持续分析工作得到美国FBI、美国司法部的致谢。 360网络安全研究院计划在杭州新成立一个产品团队,把我们的安全数据和技术产品化,探索网络安全行业未知威胁检测难题,为360安全大脑添砖加瓦。 从一次平凡的网络扫描,到漏洞、样本、安全事件分析,再到0-day漏洞检测、未知恶意软件检测、高级威胁追踪,我们致力于通过数据驱动安全,构建网络安全看得见的能力。 更多信息:https://netlab.360.com 简历投递 [email protected] 工作地点 杭州(文一西路998号海创园) 招聘岗位:产品经理 职责说明 主导360Netlab安全数据产品化工作,参与安全分析系统设计工作 把控安全项目进度,紧跟客户和市场需求 岗位要求 3年以上互联网产品工作经验,对网络安全数据有产品经验者优先考虑 负责产品需求沟通、需求分析、需求设计、原型设计、交互设计等 负责项目团队的进度把控、产品迭代质量、交付版本验收,对结果负责 有较强的学习能力,为实现产品期望而砥砺前行 良好的沟通能力和团队合作精神,有一定的组织协调能力和决策能力 敏锐的洞察力和超强的分析与解决复杂问题的能力 招聘岗位:安全工程师(实习生) 职责说明 负责高级恶意软件威胁分析,并撰写分析报告 从常规的网络安全数据和恶意样本提炼特征,为安全系统提升检测能力 热爱研究网络空间中不断出现的攻防对抗技术 […]
September 25, 2020

幽灵在行动:Specter分析报告

背景 2020年8月20日,360Netlab未知威胁检测系统捕获了一个通过漏洞传播可疑ELF文件(22523419f0404d628d02876e69458fbe.css),其独特的文件名,TLS网络流量以及VT杀软0检出的情况,引起了我们的兴趣。 经过分析,我们确定它是一个配置灵活,高度模块化/插件化,使用TLS,ChaCha20,Lz4加密压缩网络通信,针对AVTECH IP Camera / NVR / DVR 设备的恶意家族,我们捕获的ELF是Dropper,会释放出一个Loader,而Loader则会通过加密流量向C2请求各种Plugin以实现不同的功能。样本build路径为/build/arm-specter-linux-uclibcgnueabi,所以我们命名为Specter。 目前来看,Specter有很多不专业的地方,比如,它在释放Loader的同时也释放2个运行时所需要的库,但它们都是dynamically linked。又如下载的Plugin落在文件上再加载而不是在内存中直接展开加载。而且Dropper的传播是利用5年旧的老漏洞;但是在另外一方面,它有良好的分层设计,复杂的网络通信等特性,这显然是专业级玩家的作品。专业伴随着不专业,这一矛盾点使我们推测Specter正处于测试开发阶段。 概览 Specter由Dropper,Loader,Plugin 3大部分组成,主要功能由Loader&Plugin决定,根据我们目前捕获的Plugin,可以将Specter定性为,一款针对Linux平台的远程控制木马(RAT)。 Specter的主要功能有 文件管理 下载上传管理 Shell服务 Socket5 Proxy 上报设备信息 执行C2下发的脚本 执行C2下发可执行文件 基本流程如下图所示, 传播方式 […]