精品国产一级在线观看,国产成人综合久久精品亚洲,免费一级欧美大片在线观看

當(dāng)前位置:安全行業(yè)動態(tài) → 正文

Mirai變種Satori正在 37215 和 52879 端口上進(jìn)行類蠕蟲式傳播

責(zé)任編輯:editor007 作者:aqniu |來源:企業(yè)網(wǎng)D1Net  2017-12-08 20:28:17 本文摘自:安全牛

在360網(wǎng)絡(luò)安全研究院之前的blog中,提及有大約10萬個(gè)來自阿根廷的獨(dú)立掃描IP正在掃描端口 2323 和 23 ,并且確定這是一個(gè)新的mirai變種。在過去的幾天中,掃描行為變得愈發(fā)嚴(yán)重,更多的國家出現(xiàn)在我們的ScanMon平臺上。仔細(xì)分析后研究人員看到了更多的部分,意識到之前2323/23 端口上的掃描還只是巨大拼圖的一小部分。就在我們繼續(xù)深入分析的時(shí)候,研究人員注意到一個(gè)新的情況出現(xiàn),值得引起安全社區(qū)立即注意。

下面是對這個(gè)情況非常簡短和粗略的說明。

大約從中午 (2017-12-05 11:57 AM)開始,360網(wǎng)絡(luò)安全研究院注意到Satori(一個(gè)mirai變種)的新版本正在端口 37215 和 52869上非常快速的傳播。這個(gè)新變種有兩個(gè)地方與以往mirai有顯著不同:

bot 不再完全依賴以往的 loader/scanner 機(jī)制進(jìn)行惡意代碼的遠(yuǎn)程植入,而是自身有了掃描能力。這是一個(gè)類似蠕蟲的傳播行為,值得引起注意;

bot 中增加了兩個(gè)新的漏洞利用,分別工作在端口 37215 和 52869 上。考慮到bot類似蠕蟲的行為,我們建議安全工作者關(guān)注端口 37215 和 52869 上的掃描行為。(可以參考我們的ScanMon系統(tǒng),或者 ISC 的端口頁面)。

當(dāng)前活躍的是Satori僵尸網(wǎng)絡(luò)的最新版本。我們已經(jīng)跟蹤Satori好幾個(gè)月,有強(qiáng)有力的證據(jù)證明當(dāng)前這次攻擊與之前 2323/23 端口之間的掃描攻擊流量是有關(guān)聯(lián)的。

發(fā)起掃描的IP(也就是僵尸網(wǎng)絡(luò)的bot,“肉雞”)的數(shù)目在急劇增長,在過去的12個(gè)小時(shí)里,我們看到 263,250 個(gè)不同的IP在掃描端口 37215, 以及 19,403 個(gè)IP在掃描端口 52869。

  惡意代碼樣本和C2

  Satori是一個(gè)mirai的變種,同樣針對物聯(lián)網(wǎng)設(shè)備,但是也變化了很多。

樣本 e1411cc1726afe6fb8d09099c5fb2fa6 中包含的C2 有三個(gè):

95.211.123.69:7645

network.bigbotpein.com:23

control.almashosting.ru

值得注意的是,只有95.211.123.69:7645這個(gè)是真正起作用的C2,另外的兩個(gè) network.bigbotpein.com:23 和 control.almashosting.ru 在當(dāng)前樣本中并沒有真正被使用,而是有可能用來迷惑嚴(yán)肅的安全分析人員。 再次值得注意的是,control.almashosting.ru 這個(gè)C2 在以往以及正在新收到的其他樣本中也被真正使用過。

惡意樣本的掃描活動

如下圖所示,Satori 的bot 現(xiàn)在會隨機(jī)的掃描端口 37215 和 52869,取決于一個(gè)隨機(jī)數(shù)模三得到的余數(shù)是否為零。

  漏洞利用

Satori當(dāng)前會在掃描過程中使用兩個(gè)漏洞利用(exploit),一個(gè)在端口 37215 上,另外一個(gè)在端口 52869 上。

37215端口上的漏洞利用尚未見到完全公開的細(xì)節(jié)。我們團(tuán)隊(duì)在過去的幾天里持續(xù)在跟蹤這個(gè)漏洞利用,也有了較為深入的了解,但是在本blog中也不會詳細(xì)描述細(xì)節(jié)。

52869端口上的漏洞利用,源自 CVE-2014-8361。

Satori在傳播過程中,不僅會利用上述漏洞利用,而且會迫使受感染設(shè)備從原始下載URL處繼續(xù)下載Satori自身的惡意代碼。這樣周而復(fù)始,使得惡意代碼類似蠕蟲式地傳播。

與之前端口23和2323掃描流量攻擊的關(guān)系

之前,我們有發(fā)現(xiàn)阿根廷來源的掃描流量在23和2323端口上有暴漲。

事實(shí)上,在blog發(fā)布后的幾天里,更多的國家比如埃及、突尼斯、哥倫比亞也發(fā)生了類似的攻擊。更近一步的跟蹤分析發(fā)現(xiàn)那次攻擊中使用了若干樣本和某個(gè)特定的漏洞利用。

那次攻擊與本次Satori的攻擊相比有若干共同點(diǎn),包括樣本的命名和靜態(tài)特征,部分的C2協(xié)議,以及進(jìn)化中的漏洞利用。因此,我們相信兩次攻擊是有關(guān)聯(lián)的。

我們還懷疑本次攻擊與2017年8月發(fā)生在中國的另一次IoT物聯(lián)網(wǎng)相關(guān)的攻擊有關(guān)系。也許后續(xù)我們會發(fā)布另外一篇blog詳細(xì)闡述。

  本輪攻擊的樣本

  更早期間的關(guān)聯(lián)樣本

作者:360網(wǎng)絡(luò)安全研究院

關(guān)鍵字:端口MiraiSatoriIOT

本文摘自:安全牛

x Mirai變種Satori正在 37215 和 52879 端口上進(jìn)行類蠕蟲式傳播 掃一掃
分享本文到朋友圈
當(dāng)前位置:安全行業(yè)動態(tài) → 正文

Mirai變種Satori正在 37215 和 52879 端口上進(jìn)行類蠕蟲式傳播

責(zé)任編輯:editor007 作者:aqniu |來源:企業(yè)網(wǎng)D1Net  2017-12-08 20:28:17 本文摘自:安全牛

在360網(wǎng)絡(luò)安全研究院之前的blog中,提及有大約10萬個(gè)來自阿根廷的獨(dú)立掃描IP正在掃描端口 2323 和 23 ,并且確定這是一個(gè)新的mirai變種。在過去的幾天中,掃描行為變得愈發(fā)嚴(yán)重,更多的國家出現(xiàn)在我們的ScanMon平臺上。仔細(xì)分析后研究人員看到了更多的部分,意識到之前2323/23 端口上的掃描還只是巨大拼圖的一小部分。就在我們繼續(xù)深入分析的時(shí)候,研究人員注意到一個(gè)新的情況出現(xiàn),值得引起安全社區(qū)立即注意。

下面是對這個(gè)情況非常簡短和粗略的說明。

大約從中午 (2017-12-05 11:57 AM)開始,360網(wǎng)絡(luò)安全研究院注意到Satori(一個(gè)mirai變種)的新版本正在端口 37215 和 52869上非常快速的傳播。這個(gè)新變種有兩個(gè)地方與以往mirai有顯著不同:

bot 不再完全依賴以往的 loader/scanner 機(jī)制進(jìn)行惡意代碼的遠(yuǎn)程植入,而是自身有了掃描能力。這是一個(gè)類似蠕蟲的傳播行為,值得引起注意;

bot 中增加了兩個(gè)新的漏洞利用,分別工作在端口 37215 和 52869 上。考慮到bot類似蠕蟲的行為,我們建議安全工作者關(guān)注端口 37215 和 52869 上的掃描行為。(可以參考我們的ScanMon系統(tǒng),或者 ISC 的端口頁面)。

當(dāng)前活躍的是Satori僵尸網(wǎng)絡(luò)的最新版本。我們已經(jīng)跟蹤Satori好幾個(gè)月,有強(qiáng)有力的證據(jù)證明當(dāng)前這次攻擊與之前 2323/23 端口之間的掃描攻擊流量是有關(guān)聯(lián)的。

發(fā)起掃描的IP(也就是僵尸網(wǎng)絡(luò)的bot,“肉雞”)的數(shù)目在急劇增長,在過去的12個(gè)小時(shí)里,我們看到 263,250 個(gè)不同的IP在掃描端口 37215, 以及 19,403 個(gè)IP在掃描端口 52869。

  惡意代碼樣本和C2

  Satori是一個(gè)mirai的變種,同樣針對物聯(lián)網(wǎng)設(shè)備,但是也變化了很多。

樣本 e1411cc1726afe6fb8d09099c5fb2fa6 中包含的C2 有三個(gè):

95.211.123.69:7645

network.bigbotpein.com:23

control.almashosting.ru

值得注意的是,只有95.211.123.69:7645這個(gè)是真正起作用的C2,另外的兩個(gè) network.bigbotpein.com:23 和 control.almashosting.ru 在當(dāng)前樣本中并沒有真正被使用,而是有可能用來迷惑嚴(yán)肅的安全分析人員。 再次值得注意的是,control.almashosting.ru 這個(gè)C2 在以往以及正在新收到的其他樣本中也被真正使用過。

惡意樣本的掃描活動

如下圖所示,Satori 的bot 現(xiàn)在會隨機(jī)的掃描端口 37215 和 52869,取決于一個(gè)隨機(jī)數(shù)模三得到的余數(shù)是否為零。

  漏洞利用

Satori當(dāng)前會在掃描過程中使用兩個(gè)漏洞利用(exploit),一個(gè)在端口 37215 上,另外一個(gè)在端口 52869 上。

37215端口上的漏洞利用尚未見到完全公開的細(xì)節(jié)。我們團(tuán)隊(duì)在過去的幾天里持續(xù)在跟蹤這個(gè)漏洞利用,也有了較為深入的了解,但是在本blog中也不會詳細(xì)描述細(xì)節(jié)。

52869端口上的漏洞利用,源自 CVE-2014-8361。

Satori在傳播過程中,不僅會利用上述漏洞利用,而且會迫使受感染設(shè)備從原始下載URL處繼續(xù)下載Satori自身的惡意代碼。這樣周而復(fù)始,使得惡意代碼類似蠕蟲式地傳播。

與之前端口23和2323掃描流量攻擊的關(guān)系

之前,我們有發(fā)現(xiàn)阿根廷來源的掃描流量在23和2323端口上有暴漲。

事實(shí)上,在blog發(fā)布后的幾天里,更多的國家比如埃及、突尼斯、哥倫比亞也發(fā)生了類似的攻擊。更近一步的跟蹤分析發(fā)現(xiàn)那次攻擊中使用了若干樣本和某個(gè)特定的漏洞利用。

那次攻擊與本次Satori的攻擊相比有若干共同點(diǎn),包括樣本的命名和靜態(tài)特征,部分的C2協(xié)議,以及進(jìn)化中的漏洞利用。因此,我們相信兩次攻擊是有關(guān)聯(lián)的。

我們還懷疑本次攻擊與2017年8月發(fā)生在中國的另一次IoT物聯(lián)網(wǎng)相關(guān)的攻擊有關(guān)系。也許后續(xù)我們會發(fā)布另外一篇blog詳細(xì)闡述。

  本輪攻擊的樣本

  更早期間的關(guān)聯(lián)樣本

作者:360網(wǎng)絡(luò)安全研究院

關(guān)鍵字:端口MiraiSatoriIOT

本文摘自:安全牛

電子周刊
回到頂部

關(guān)于我們聯(lián)系我們版權(quán)聲明隱私條款廣告服務(wù)友情鏈接投稿中心招賢納士

企業(yè)網(wǎng)版權(quán)所有 ©2010-2024 京ICP備09108050號-6 京公網(wǎng)安備 11010502049343號

^ 
    • <menuitem id="jw4sk"></menuitem>
    

    • 

      3. <form id="jw4sk"><tbody id="jw4sk"><dfn id="jw4sk"></dfn></tbody></form>
      
主站蜘蛛池模板:
周口市|
浦北县|
开江县|
灵丘县|
武汉市|
安远县|
余干县|
云和县|
巨鹿县|
城口县|
牙克石市|
陇西县|
大方县|
延吉市|
龙海市|
麻江县|
蒲城县|
马公市|
赤峰市|
枞阳县|
井冈山市|
杭州市|
固阳县|
巧家县|
宁都县|
肥东县|
迁安市|
黄陵县|
井冈山市|
鄂托克前旗|
柯坪县|
九龙县|
淮安市|
天祝|
贵港市|
青海省|
台中县|
佛学|
澜沧|
赤城县|
武功县|