it-news

June 21, 2019

An Analysis of Linux.Ngioweb Botnet

Background On May 27, 2019, Our Unknown Threat Detect System highlighted a suspicious ELF file, and till this day, the detection rate on VT is still […]
June 21, 2019

Linux.Ngioweb分析报告

背景介绍 2019年5月27号,360Netlab 未知威胁检测系统发现一个可疑的ELF文件,目前仅有一款杀毒引擎检测识别。通过详细分析,我们确定这是一款Proxy Botnet,并且是Win32.Ngioweb[1]恶意软件的Linux版本变种,我们将它命名为Linux.Ngioweb。它与Win32.Ngioweb共用了大量代码,不同的是它新增了DGA特性。我们注册了其中一个DGA C2域名(enutofish-pronadimoful-multihitision.org),并对它进行Sinkhole处理以此来观察Bot连接情况。 此外,我们还观察到大量部署WordPress的Web服务器被植入Linux.Ngioweb 恶意软件。尽管Bot程序由Web容器对应的用户组运行并且权限很小但还是能够正常工作,并被充当Rotating Reverse Proxy[2]节点。 目前,我们还没有看清楚Linux.Ngioweb攻击者的目的,但我们猜测他可能会监听代理网络流量。 Linux.Ngioweb概览 Linux.Ngioweb Bot样本的主要功能是在受害者的机器上实现Back-Connect Proxy[3]。攻击者将多个Bot构建为一个Proxies Pool,并通过双层C2协议控制,然后提供Rotating Reverse Proxy Service。 Linux.Ngioweb逆向分析 样本信息 MD5: 827ecf99001fa66de513fe5281ce064d ELF 64-bit LSB executable, […]
July 1, 2019

An Analysis of Godlua Backdoor

Background On April 24, 2019, our Unknown Threat Detection System highlighted a suspicious ELF file which was marked by a few vendors as mining related trojan […]
July 1, 2019

Godlua Backdoor分析报告

背景介绍 2019年4月24号,360Netlab未知威胁检测系统发现一个可疑的ELF文件,目前有一部分杀软误识别为挖矿程序。通过详细分析,我们确定这是一款Lua-based Backdoor,因为这个样本加载的Lua字节码文件幻数为“God”,所以我们将它命名为Godlua Backdoor。 Godlua Backdoor会使用硬编码域名,Pastebin.com,GitHub.com和DNS TXT记录等方式,构建存储C2地址的冗余机制。同时,它使用HTTPS加密下载Lua字节码文件,使用DNS over HTTPS获取C2域名解析,保障Bot与Web Server和C2之间的安全通信。 我们观察到Godlua Backdoor实际上存在2个版本,并且有在持续更新。我们还观察到攻击者会通过Lua指令,动态运行Lua代码,并对一些网站发起HTTP Flood 攻击。 概览 目前,我们看到的Godlua Backdoor主要存在2个版本,201811051556版本是通过遍历Godlua下载服务器得到,我们没有看到它有更新。当前Godlua Backdoor活跃版本为20190415103713 ~ 2019062117473,并且它还在持续更新。它们都是通过C语言开发实现的Backdoor,不过后者能够适应更多的计算机平台以及支持更多的功能,以下是它们的详细对比图。 Godlua Backdoor逆向分析 version 201811051556 这是我们发现Godlua Backdoor […]