奇安信 X 实验室

奇安信 X 实验室

New Zero-Detection Variant of Melofee Backdoor from Winnti Strikes RHEL 7.9

Background On July 27, 2024, XLab's Cyber Threat Insight and Analysis System(CTIA) detected an ELF file named pskt from IP address 45.92.156.166. Currently undetected on VirusTotal, the file triggered two alerts: an Overlay section and a communication domain mimicking Microsoft. Our analysis identified it as a

0检测的Melofee 木马新变种曝光，专攻RHEL 7.9系统

简介 2024年7月27日，XLab的大网威胁感知系统检测到 IP 地址 45.92.156.166 正在传播一个名为pskt的ELF 文件，它在 VirusTotal 上尚无检测。该样本触发了两条告警：文件存在 Overlay 区段，且通信域名疑似模仿微软。经过分析，我们确认这是一个专门针对 Red Hat Enterprise Linux (RHEL) 7.9 的 Melofee 后门木马变种。 Melofee 是一个用 C++ 编写的后门木马，支持信息收集、进程管理、文件操作和 SHELL 等功能，最早于 2023 年 3 月被 ExaTrack 披露，据信隶属于 APT 组织

Uncovering DarkCracks: How a Stealthy Payload Delivery Framework Exploits GLPI and WordPress

Uncovering DarkCracks: How a Stealthy Payload Delivery Framework Exploits GLPI and WordPress

Summary XLab's Cyber Threat Insight and Analysis system(CTIA) recently detected a sophisticated malicious payload delivery and upgrade framework, which we have named DarkCracks. This framework is characterized by its zero detection rate on VirusTotal, high persistence, stealth, and a well-designed upgrade mechanism, leveraging high-performance, stable online infrastructure as its

DarkCracks, 一个利用被黑GLPI, WORDPRESS站点充当中转的高级恶意载荷&升级框架

DarkCracks, 一个利用被黑GLPI, WORDPRESS站点充当中转的高级恶意载荷&升级框架

摘要我们的XLab大网威胁感知系统最近捕获了一个VirusTotal 0检测, 高持续、高隐匿、高完善升级设计、并利用高性能稳定在线设备作为其基础设施的恶意载荷投递&升级框架系统。从我们的数据来看，这个我们命名为DarkCracks的恶意程序设计精良，背后的攻击者绝非普通的脚本小子。虽然我们对他的载荷投递&升级框架体系已经掌握，但由于高隐匿性，它的Launcher组件我们截止目前尚无显著视野。不过在8月26日，我们看到在该项目的开发文件中新增一个受密码保护的名字resume的PDF文件，随后该文件被重命名为韩文김영미 이력서 (Kim Young-mi's resume)，考虑到这是一个较为常见的韩文名字，我们高度怀疑这个组件的一部分功能是针对韩语用户群体的社工活动。 DarkCracks利用被黑的GLPI, WORDPRESS站点充当Downloader & C2，收集被入侵设备敏感信息，维持被入侵设备的长期访问权限，并利用这些设备作为中间节点控制其他设备或投递恶意载荷以隐匿攻击者痕迹。我们视野范围内的分布在不同国家的学校网站，公交系统，甚至监狱访客系统等公众服

More details on the DDoS attack on the 《Black Myth: Wukong》 distribution platform

More details on the DDoS attack on the 《Black Myth: Wukong》 distribution platform

Incident Review On the evening of August 24th, Steam platform suddenly went down, with players around the world reporting that they were unable to log in. Many players speculate that the crash is caused by too many people online in Black Myth: Wukong. However, according to the announcement of Perfect

《黑神话：悟空》发行平台遭DDoS攻击的更多细节

《黑神话：悟空》发行平台遭DDoS攻击的更多细节

事件回顾 8月24日晚，Steam平台突然崩溃，国内外玩家纷纷反馈无法登录。许多玩家猜测崩溃是由于《黑神话：悟空》在线人数过多导致。然而，根据完美世界竞技平台的公告，此次Steam崩溃实际上是因为遭受了大规模DDoS攻击。完美世界公告 Downdetector用户报告的Steam 中断情况关于此次事件XLab的观察 XLAB大网威胁感知系统对最近的DDoS攻击事件进行了深入观察。我们注意到，此次攻击涉及了近60个僵尸网络主控节点，这一规模远超过常规僵尸网络的控制范围。这些主控节点协同指挥了大量被感染的bots，以波次方式发起了攻击。攻击的目标包括Steam在全球13个地区的服务器IP，包括中国、美国、新加坡、瑞典、德国、奥地利、西班牙、英国、日本、韩国、澳大利亚、智利和荷兰。值得注意的是，除了Steam自身的服务器外，国内完美世界代理的Steam服务器也被列为攻击目标。总计，有107个服务器IP遭到了攻击。攻击行动主要分为四个波次，攻击者似乎有意选择在各个时区的游戏玩家在线高峰时段发起攻击，以实现最大的破坏效果。从攻击的时间选择、

关于特朗普与马斯克访谈直播遭遇DDoS攻击事件快速介绍

关于特朗普与马斯克访谈直播遭遇DDoS攻击事件快速介绍

按: 昨天特朗普与马斯克访谈直播是否 x 真的遭受到了DDos攻击,我们看到安全社区有一些讨论,有一种倾向是认为实际上并没有攻击发生,从我们的视角看,攻击是真实的发生了,如下是一篇简要的情况介绍事件回顾按照原定计划，美东时间12日晚8时，埃隆·马斯克将对第60届美国总统大选候选人唐纳德·特朗普进行一次连麦直播访谈，并在X平台上通过马斯克和特朗普的个人账号进行现场直播。然而，当直播时间开始用户访问两人的直播间时，系统却提示“此直播间不可用”。直至40多分钟后，直播平台才恢复正常。访谈结束后，马斯克在其X平台账号上发文称X平台遭受了大规模的DDoS攻击。马斯克表示：“我对延迟启动表示歉意。不幸的是，我们的服务器遭到了大规模的DDoS攻击，我们所有的数据线路都饱和了，基本上数百GB的数据都饱和了。” 关于此次事件XLab的观察 XLAB大网威胁感知系统观察到了此次DDoS攻击事件。我们观察到有4个Mirai僵尸网络主控参与了此次攻击。另外还有其他攻击团伙使用HTTP代理攻击等方式也参与了此次攻击事件。攻击时间从北京时间8点37持续到9点28，攻击时

Behind the Scenes: A Brief Overview of the DDoS Attack on the Trump-Musk Livestream

Behind the Scenes: A Brief Overview of the DDoS Attack on the Trump-Musk Livestream

Note: There has been considerable discussion in both the media and the security community about whether the Trump and Musk interview livestream on X yesterday was indeed the target of a DDoS attack. While many suggest that no attack took place, our analysis indicates that the attack did occur. Below

8220 Mining Gang's New Tool: k4spreader

8220 Mining Gang's New Tool: k4spreader

Overview On June 17, 2024, we discovered an ELF sample written in C language with a detection rate of 0 on VT. This sample was packed with a modified upx packer. After unpacking, another modified upx-packed elf file was obtained which was written in CGO mode. After analysis, it was

8220挖矿团伙的新玩具：k4spreader

8220挖矿团伙的新玩具：k4spreader

一、概述 2024年6月17号我们发现了一个VT 0检测的使用c语言编写的ELF样本，这个样本使用变形的upx加壳，脱壳后得到了另一个变形的upx加壳的elf文件，使用cgo的方式编写。经过分析发现这是来自“8220“挖矿团伙的新工具，用来安装其他恶意软件执行，主要是构建Tsunami DDoS僵尸网络和安装PwnRig挖矿程序。根据样本中的函数名称将其命名为“k4spreader”，进一步分析了VT的和蜜罐的数据后，发现k4spreader尚处于开发阶段，但已经出现3个变种，因此在这做一个简单介绍。 “8220“团伙：又被称为“Water Sigbin”，是一个来自中国的、自2017年以来持续活跃的挖矿团伙，2017年11月，使用当时还是0day状态的Weblogic反序列化漏洞（CVE-2017-10271）入侵服务器植入挖矿木马，这是第一次被公开披露的使用0day漏洞入侵服务器植入挖矿木马的案例。该团伙擅长利用反序列化、未授权访问等漏洞攻击Windows和Linux服务器，随后下载僵尸网络程序、挖矿程序、端口扫描工具等对主机进行控制和恶意利用。之前挖矿是该团伙主要活跃领域，

New Threat: A Deep Dive Into the Zergeca Botnet

New Threat: A Deep Dive Into the Zergeca Botnet

Background On May 20, 2024, while everyone was happily celebrating the holiday, the tireless XLab CTIA(Cyber Threat Insight Analysis) system captured a suspicious ELF file around 2 PM, located at /usr/bin/geomi. This file was packed with a modified UPX, had a magic number of 0x30219101, and was

虫潮降临：Zergeca僵尸网络分析报告

虫潮降临：Zergeca僵尸网络分析报告

背景 2024年5月20日，当大家都在愉快地庆祝节日时，不知疲倦的XLab大网威胁感知系统于14点左右捕获了一个可疑的ELF文件，路径为/usr/bin/geomi。该文件使用变形的UPX加壳，幻数为0x30219101，从俄罗斯上传到VirusTotal，未被任何杀软引擎检测出恶意行为。当晚22点，另一个使用相同UPX幻数的geomi文件从德国上传到VT。可疑的文件路径的，变形的UPX壳，以及多国上传的情况引起了我们的关注。经过分析，我们确认这是一个使用Golang实现的僵尸网络。由于其C2使用了“ootheca”字符串，让人联想到星际争霸中的铺天盖地的虫族，我们将其命名为Zergeca。从功能上来说，Zergeca不仅是一个典型的DDoS僵尸网络，除了支持六种不同的攻击方法外，还具备代理、扫描、自升级、持久化、文件传输、反向shell和收集设备敏感信息等功能。从网络通信来看，Zergeca也具有以下独特之处： 1. 支持多种DNS解析方式，优先使用DOH进行C2解析 2. 使用不常见的Smux库实现C2通信协议，并通过xor进行加密在对Zergeca的基础设

Breaking Network Boundaries with SSH Services

Background Recently, XLab received a project that requires the deployment of a self-developed system on a restricted intranet. Due to objective constraints, we are unable to directly access their intranet. Initially, we planned to use "Sunlogin(Remote Control Tool)" as a solution, but the network bandwidth was insufficient to support

使用 SSH 服务打破网络边界

缘起部门近期接到一个项目, 需要在受限内网部署一套自研的系统, 受一些客观条件限制, 我们的同事又无法肉身直连, 本来大家是考虑用“向日葵”就可以了, 但是通过界面敲命令行属实有些卡顿, 这给项目推进带来了不小的困难, 如果能搭建一组网络隧道, 直连目标机器, 那工作起来一定丝滑不少. 考虑到过往经历, 面对这种撞枪口的需求, 索性就打了一套 SSH 组合拳, 搭了几条解决不同需求的管道, 结果惊呆了小伙伴们, 既然如此, 不如索性系统性的梳理一下, 广而告之, 遂有了这篇blog. 场景考量既然准备系统性梳理, 那就不能只解决某一个需求, 而是要考虑到更多的使用场景, 所以我大概考虑了以下几个场景, 供读者自行匹配: 1. 两个身处不同网域的小伙伴, 需要一个统一的网络管道, 共同开展系统搭建/程序开发/渗透测试等工作; 2. 在内网渗透场景下, 边界主机为内网主机, 希望以边界主机为跳板向更深层网络发起访问; 3. 进入受限网络后, 无法访问某个关键服务, 希望反向利用本地网络访问这个服务; 4. 在家里内网搭了个一键 XXX 服务, 出门在外想和

Kiteshield Packer is Being Abused by Linux Cyber Threat Actors

Kiteshield Packer is Being Abused by Linux Cyber Threat Actors

Background Over the past month, XLab's CTIA(Cyber Threat Insight Analysis) System has captured a batch of suspicious ELF files with low detection rates on VT and very similar characteristics. Eager to delve into this, we commenced reverse engineering, facing a series of anti-debugging techniques, string obfuscation, XOR encryption, RC4

警惕：Kiteshield Packer正在被Linux黑灰产滥用

警惕：Kiteshield Packer正在被Linux黑灰产滥用

背景近一个月XLab的大网威胁感知系统捕获了一批VT低检测且很相似的可疑ELF文件。我们在满心期待中开始了逆向分析，期间经历了反调试，字串混淆，XOR加密，RC4加密等等一系列对抗手段。坦白的说，在这个过程中我们是非常开心的，因为对抗越多，越能说明样本的“不同凡响”，或许我们抓到了一条大鱼。然而，结果却让人失望。这批样本之所以检测率低，是因为它们都使用了一个名为Kiteshield的壳。最终，我们发现这些样本都是已知的威胁，分别隶属于APT组织Winnti、黑产团伙暗蚊，以及某不知名的脚本小子。尽管我们未能从这批样本中发现新的威胁，但低检测率本身也是一种重要的发现。显然，不同级别的黑灰产组织都开始使用Kiteshield来实现免杀，而目前安全厂商对这种壳还缺乏足够的认知。随着一年一度的大型网络演练临近，我们不排除攻击方使用Kiteshield的可能性。因此，我们认为有必要编写本文，向社区分享我们的发现，以促进杀软引擎对Kiteshield壳的处理能力。 Kiteshield Packer介绍简单来说，Kiteshield是一个针对x86-64 ELF二进制

CatDDoS-Related Gangs Have Seen a Recent Surge in Activity

CatDDoS-Related Gangs Have Seen a Recent Surge in Activity

Overview XLab's CTIA(Cyber Threat Insight Analysis) System continuously tracks and monitors the active mainstream DDoS botnets. Recently, our system has observed that CatDDoS-related gangs remain active and have exploited over 80 vulnerabilities over the last three months. Additionally, the maximum number of targets has been observed to exceed 300+

CatDDoS系团伙近期活动激增分析

CatDDoS系团伙近期活动激增分析

概述 XLab大网威胁感知系统会对当前活跃的主流DDoS僵尸网络家族进行持续跟踪和监控，最近3个月，这套系统观察到CatDDoS系团伙持续活跃，利用的漏洞数量达80+，攻击目标数量最大峰值300+/d，鉴于其活跃程度，我们整理了一份近期的各种数据分享给社区以供参考。漏洞利用根据视野内的数据，我们观察到CatDDoS系团伙最近3个月使用了大量的已知漏洞传播样本，总数达80多个。具体漏洞如下：这些漏洞影响的厂商设备如下： vendor Name product Name A-MTK Camera Apache ActiveMQ Apache Log4j Apache Rocketmq Avtech Camera Barni Master Ip Camera01 Firmware Billion 5200W-T Firmware Cacti Cacti Cambiumnetworks Cnpilot R190V Firmware Cisco Linksys Firmware Ctekproducts Sk

Playing Possum: What's the Wpeeper Backdoor Up To?

Playing Possum: What's the Wpeeper Backdoor Up To?

Summary On April 18, 2024, XLab's threat hunting system detected an ELF file with zero detections on VirusTotal being distributed through two different domains. One of the domains was marked as malicious by three security firms, while the other was recently registered and had no detections, drawing our attention. Upon

假死疑云：Wpeeper木马所图为何？

假死疑云：Wpeeper木马所图为何？

简介 2024年4月18日，XLab的未知威胁狩猎系统发现一个VT 0检测的ELF文件正通过2个不同的域名传播，其中一个域名已被3家安全产商标注为恶意，另一个域名为近期注册且无任何检测，这个异常点引起了我们的注意。经过分析，我们确认此ELF是一个针对Android系统的恶意软件，基于它使用被黑的WORD PRESS站点做为中转C2，我们将其命名为Wpeeper。 Wpeeper是一个针对Android系统的典型后门木马，支持收集设备敏感信息，文件&目录管理，上传&下载，执行命令等诸多功能。Wpeeper最大的亮点在于网络层面，以下3点体现了其作者的用心程度： 1. 依托被黑的WORD PRESS站点构建多层级的C2架构，隐藏真正的C2 2. 使用Session字段区分请求，HTTPS协议保护网络流量 3. C2下发的指令使用AES加密并带有椭圆曲线签名，防止被接管 Wpeeper来源于“二次打包”的UPtodown Store应用，攻击者向正常的APK中植入了一小段代码用于下载执行恶意的ELF。由于新增的代码量很少，被修改的APK目前在VT上也是0检测。UPtod

Mirai Nomi: A Botnet Leveraging DGA

Overview The Mirai family, as the evergreen tree of botnet, exists numerous variants, but rarely appear Mirai variants using DGA(Domain Generation Algorithm), according to our observation, the last Mirai variant using DGA appeared in 2016. in March 2024, we captured new suspicious ELF samples, which we learnt through analysis

使用DGA的僵尸网络Mirai Nomi

概述 Mirai家族作为botnet的常青树，存在众多变种，但极少出现使用DGA的Mirai变种，据我们观测，上一个使用DGA（Domain Generation Algorithm）的Mirai变种出现于2016年。2024年3月，我们捕获到了新的可疑ELF样本，通过分析得知是另一个使用DGA的Mirai变种，分析关联的历史样本，我们不仅发现了没有使用DGA的版本（2024.02），还发现了漏洞扫描器和远控样本（2024.01），这引起我们的极大兴趣。根据下载脚本中的版本信息，我们姑且将其命名为Mirai.Nomi。 Mirai.Nomi样本具有以下特点： * 魔改UPX壳（修改UPX魔术头、异或原始载荷） * 使用时间相关的DGA并加入验证机制 * 使用多个加密算法、哈希算法（AES、CHACHA20、MD5）样本分析最新ELF样本修改自Mirai LZRD变种，新增了持久化函数和域名生成函数，其他部分基本沿用原始代码。UPX壳修改魔术头为0B 3E 2A AF 解压缩每个block后，单字节异或0xD4，可通过动态dump或者重新编译UP

Smargaft Harnesses EtherHiding for Stealthy C2 Hosting

Smargaft Harnesses EtherHiding for Stealthy C2 Hosting

Background At XLab, we see a lot of botnets every day, mainly tweaks of old Mirai and Gafgyt codes. These are pretty common and usually don't grab our attention. But today, we found something different. This new botnet uses some of Gafgyt's attack styles but has been built differently from

币安智能合约正在被Smargaft僵尸网络滥用

币安智能合约正在被Smargaft僵尸网络滥用

背景在XLab的日常工作中，我们的僵尸网络监控系统每天都能检测到大量基于Mirai, Gafgyt代码魔改而来的变体的僵尸网络。这些变体已经司空见惯，无法引起我们的兴趣。然而，今天的主角是一个异类，虽然它复用了一些Gafgyt的攻击向量，但很明显程序的逻辑结构是重新设计的。除此之外其作者还有一些让人眼前一亮的创新，比如利用币安智能链（Binance Smart Chain）的合约托管命令和控制中心（C2），比如通过病毒式感染Shell脚本实现持久化等。我们在进行逆向分析时，发现一些杀毒软件将这个僵尸网络的ARM样本标记为Mirai，这是不准确的。基于这个僵尸网络使用智能合约以及Gafgyt的攻击向量，我们将它命名为Smargaft，它的主要功能是DDoS攻击，执行系统命令，提供socks5代理服务等。 Smargaft最大的亮点是使用智能合约托管C2，这种技术于2023年10月被首次披露，业内称之为EtherHiding，它充分利用区块链的公开性和不可篡改性，"链上”的C2无法被移除，是一种相当高级且少见的Bullet-Proof Hosting技法。这是我们在僵尸网络

Deep Dive into NXDOMAIN Data in China

Deep Dive into NXDOMAIN Data in China

The Domain Name System (DNS) is an essential protocol in the architecture of today's Internet. It routinely translates domain names into IP addresses and also often handles a multitude of invalid queries. These include requests for non-existent domain names, termed NXDOMAIN. A high volume of such invalid queries can adversely