hacker-news

March 14, 2020

What is your GCP infra worth?…about ~$700 [Bugbounty]

BugBounty story #bugbountytips A fixed but they didn’t pay the bugbounty story… Timeline: reported 21 Oct 2019 validated at Critical  23 Oct 2019 validated as fixed 30 […]
March 20, 2020

Multiple botnets are spreading using LILIN DVR 0-day

Author:Yanlong Ma,Lingming Tu,Genshen Ye,Hongda Liu When we talk about DDos botnet, we tend to think the typical scenario, some mediocre, code-borrowing scripts target old vulnerabilities. But […]
March 20, 2020

LILIN DVR 在野0-day 漏洞分析报告

本文作者:马延龙,涂凌鸣,叶根深,刘宏达 当我们研究Botnet时,我们一般看到的是攻击者通过N-day漏洞植入Bot程序。但慢慢的,我们看到一个新的趋势,一些攻击者开始更多地利用0-day漏洞发起攻击,利用手段也越发成熟。我们希望安全社区关注到这一现象,积极合作共同应对0-day漏洞攻击威胁。 背景介绍 从2019年8月30号开始,360Netlab未知威胁检测系统持续监测到多个攻击团伙使用LILIN DVR 0-day漏洞传播Chalubo[1],FBot[2],Moobot[3]僵尸网络。 在2020年1月19号,我们开始联系设备厂商LILIN。在2020年2月13号,厂商修复了该漏洞[4],并发布了最新的固件程序2.0b60_20200207[5]。 漏洞分析 LILIN 0-day漏洞主要包括:硬编码登陆账号密码,/z/zbin/dvr_box命令注入漏洞和/z/zbin/net_html.cgi任意文件读取漏洞。其中/z/zbin/dvr_box对外提供Web服务,它的Web接口/dvr/cmd或/cn/cmd存在命令注入漏洞。我们观察到被注入的参数包括:NTPUpdate,FTP,NTP。 硬编码登陆账号密码列表: root/icatch99 report/8Jg0SR8K50 默认账号密码: admin/123456 NTPUpdate 注入漏洞分析 /z/zbin/dvr_box 程序中的dvr_serv::do_request()函数负责解析DVRPOST传入的XML配置,并调用相应的处理函数; dvr_core::NTPUpdate()函数将Server字段传入到依赖库libutility.so中的UtilityBox::UtilityNtp::run()函数; UtilityBox::UtilityNtp::run()函数根据Server字段值,拼接并执行ntp时间同步命令; 由于以上过程缺乏对Server字段的特殊字符的过滤,导致命令注入。 在2.0b60_20200207版本中,厂商在步骤3通过调用UtilityBox::Utility::ValidateHostName()函数检验Server字段,修复了该漏洞。 FTP和NTP 注入漏洞分析 通过硬编码登陆账号密码和/z/zbin/net_html.cgi程序中的任意文件读取漏洞[6],获取设备配置文件信息/zconf/service.xml; […]
March 23, 2020

Icnanker, 一个使用了SHC技术的木马下载器

背景介绍 2019年8月15日,360Netlab恶意流量检测系统发现一个通过SSH传播的未知ELF样本(5790dedae465994d179c63782e51bac1)产生了Elknot Botnet的相关网络流量,经分析这是一个使用了”SHC(Shell script compiler)”技术的Trojan-Downloader,作者是老牌玩家icnanker。icnanker其人于2015年被网络曝光,擅长脚本编程,性格高调,喜欢在脚本中留下名字,QQ等印记。 此次攻击,在我们看来没有太多的新颖性,因此并没有公开。 2020年3月12日,友商IntezerLab将一变种(6abe83ee8481b5ce0894d837eabb41df)检测为Icnanker。我们在看了这篇文档之后,觉得还是值得写一笔,因为IntezerLab漏了几个有意思的细节: SHC技术 Icananker的分类及其功能 Icananker分发的业务 概览 Icnanker是我们观察到的第一个使用SHC技术的家族,针对Linux平台,其名字源于脚本中作者的标识“by icnanker”字串。 目前Icnanker的样本按照功能可以分成2大类: Downloader Downloader用于DDos,Miner等业务,目前下载的业务样本有Elknot Botnet, Xor Botnet, XMRMiner等,在Icnanker相关的HFS服务器上我们可以看到下载量已达20000+,且以每天500+的速度增长。 Protector Protector用于保护样本不被删除,目前用于保护Miner。 Downloader的主要功能如下: 持久化 隐藏自身 删除系统命令 […]