daji

daji

《黑神话:悟空》发行平台遭DDoS攻击的更多细节 (公开版)
DDoS

《黑神话:悟空》发行平台遭DDoS攻击的更多细节 (公开版)

事件回顾 8月24日晚,Steam平台突然崩溃,国内外玩家纷纷反馈无法登录。许多玩家猜测崩溃是由于《黑神话:悟空》在线人数过多导致。然而,根据完美世界竞技平台的公告,此次Steam崩溃实际上是因为遭受了大规模DDoS攻击。 完美世界公告 Downdetector用户报告的Steam 中断情况 关于此次事件XLab的观察 XLAB大网威胁感知系统对最近的DDoS攻击事件进行了深入观察。我们注意到,此次攻击涉及了近60个僵尸网络主控节点,这一规模远超过常规僵尸网络的控制范围。这些主控节点协同指挥了大量被感染的bots,以波次方式发起了攻击。 攻击的目标包括Steam在全球13个地区的服务器IP,包括中国、美国、新加坡、瑞典、德国、奥地利、西班牙、英国、日本、韩国、澳大利亚、智利和荷兰。值得注意的是,除了Steam自身的服务器外,国内完美世界代理的Steam服务器也被列为攻击目标。总计,有107个服务器IP遭到了攻击。 攻击行动主要分为四个波次,攻击者似乎有意选择在各个时区的游戏玩家在线高峰时段发起攻击,以实现最大的破坏效果。 从攻击的时间选择、
16 min read
关于特朗普与马斯克访谈直播遭遇DDoS攻击事件快速介绍
DDoS

关于特朗普与马斯克访谈直播遭遇DDoS攻击事件快速介绍

按: 昨天特朗普与马斯克访谈直播是否 x 真的遭受到了DDos攻击,我们看到安全社区有一些讨论,有一种倾向是认为实际上并没有攻击发生,从我们的视角看,攻击是真实的发生了,如下是一篇简要的情况介绍 事件回顾 按照原定计划,美东时间12日晚8时,埃隆·马斯克将对第60届美国总统大选候选人唐纳德·特朗普进行一次连麦直播访谈,并在X平台上通过马斯克和特朗普的个人账号进行现场直播。然而,当直播时间开始用户访问两人的直播间时,系统却提示“此直播间不可用”。直至40多分钟后,直播平台才恢复正常。 访谈结束后,马斯克在其X平台账号上发文称X平台遭受了大规模的DDoS攻击。 马斯克表示:“我对延迟启动表示歉意。不幸的是,我们的服务器遭到了大规模的DDoS攻击,我们所有的数据线路都饱和了,基本上数百GB的数据都饱和了。” 关于此次事件XLab的观察 XLAB大网威胁感知系统观察到了此次DDoS攻击事件。我们观察到有4个Mirai僵尸网络主控参与了此次攻击。另外还有其他攻击团伙使用HTTP代理攻击等方式也参与了此次攻击事件。攻击时间从北京时间8点37持续到9点28,攻击时
4 min read
8220挖矿团伙的新玩具:k4spreader
Backdoor

8220挖矿团伙的新玩具:k4spreader

一、概述 2024年6月17号我们发现了一个VT 0检测的使用c语言编写的ELF样本,这个样本使用变形的upx加壳,脱壳后得到了另一个变形的upx加壳的elf文件,使用cgo的方式编写。经过分析发现这是来自“8220“挖矿团伙的新工具,用来安装其他恶意软件执行,主要是构建Tsunami DDoS僵尸网络和安装PwnRig挖矿程序。根据样本中的函数名称将其命名为“k4spreader”,进一步分析了VT的和蜜罐的数据后,发现k4spreader尚处于开发阶段,但已经出现3个变种,因此在这做一个简单介绍。 “8220“团伙:又被称为“Water Sigbin”,是一个来自中国的、自2017年以来持续活跃的挖矿团伙,2017年11月,使用当时还是0day状态的Weblogic反序列化漏洞(CVE-2017-10271)入侵服务器植入挖矿木马,这是第一次被公开披露的使用0day漏洞入侵服务器植入挖矿木马的案例。该团伙擅长利用反序列化、 未授权访问等漏洞攻击Windows和Linux服务器,随后下载僵尸网络程序、挖矿程序、端口扫描工具等对主机进行控制和恶意利用。之前挖矿是该团伙主要活跃领域,
12 min read
CatDDoS系团伙近期活动激增分析
Botnet

CatDDoS系团伙近期活动激增分析

概述 XLab大网威胁感知系统会对当前活跃的主流DDoS僵尸网络家族进行持续跟踪和监控,最近3个月,这套系统观察到CatDDoS系团伙持续活跃,利用的漏洞数量达80+,攻击目标数量最大峰值300+/d,鉴于其活跃程度,我们整理了一份近期的各种数据分享给社区以供参考。 漏洞利用 根据视野内的数据,我们观察到CatDDoS系团伙最近3个月使用了大量的已知漏洞传播样本,总数达80多个。具体漏洞如下: 这些漏洞影响的厂商设备如下: vendor Name product Name A-MTK Camera Apache ActiveMQ Apache Log4j Apache Rocketmq Avtech Camera Barni Master Ip Camera01 Firmware Billion 5200W-T Firmware Cacti Cacti Cambiumnetworks Cnpilot R190V Firmware Cisco Linksys Firmware Ctekproducts Sk
10 min read
中国全网DNS错误数据分析
DNS

中国全网DNS错误数据分析

在电影《流浪地球2》中,重启全球互联网的情节让观众印象深刻,影片中重启根服务器象征着全球DNS(Domain Name System)解析服务的重新启动。在现实世界中,DNS不仅承担着将域名转换为IP地址的常规解析任务,还经常接收到众多无效查询:不存在的域名,即NXDOMAIN(Non-Existent Domain)。大量无效查询会影响用户上网体验,增加网络运营商负担,甚至某些情况下还会危及到各级DNS解析器的稳定性。 作为中国主要的DNS基础设施服务提供商之一,奇安信运营着国内规模最大的公共DNS解析系统和最大的公开的PassiveDNS系统。这赋予了我们广阔且清晰的视角,能够从全国范围内观测DNS运行状况,对DNS运作过程进行充分的分析和解读。本文依托奇安信公共DNS海量的递归解析数据,从DNS解析数据中一个关键指标——NXDOMAIN数据入手,从中国视角出发对其进行全面分析。 文章共分为三个部分:第一部分比较了中国与全球DNS系统中错误域名查询的共性与差异,并探讨了这些差异的原因。第二部分从域名的视角出发,全面分析错误域名的产生原因及其影响。第三部分从地域的角度,对比中国不
43 min read
Botnet

Rimasuta新变种出现,改用ChaCha20加密

时间回到两年前,2021年6月360netlab捕获到一个全新的mirai变种,根据使用的TEA算法给它取名为mirai_ptea,没想到在向社区公布了该变种之后,作者在随后更新的样本里吐槽了360netlab的命名: “-_- you guys didnt pick up on the name? really??? its RI-MA-SU-TA. not MIRAI_PTEA this is dumb name.” 鉴于作者吐槽,360netlab也是将后续命名更改为Mirai_ptea_Rimasuta。当时以为又是一个生命短暂的僵尸网络,然而在最近的botnet观测中,rimasuta再次回到了我们的视野。 rimasuta的整体架构没有发生变化,比如通信过程就延用了之前的设计思路,采用Tor Proxy进行通信,但在加密算法、协议格式等方面发生了改变。本文通过对rimasuta新变种的分析,尝试为这个活跃了三年的botnet勾勒出一条时间线,方便社区了解。 时间线 * 2021年6月22日360netlab观察到mirai_ptea利用KGUARD DVR漏洞
13 min read