daji - 奇安信 X 实验室

奇安信 X 实验室

daji

More details on the DDoS attack on the 《Black Myth: Wukong》 distribution platform

More details on the DDoS attack on the 《Black Myth: Wukong》 distribution platform

Incident Review On the evening of August 24th, Steam platform suddenly went down, with players around the world reporting that they were unable to log in. Many players speculate that the crash is caused by too many people online in Black Myth: Wukong. However, according to the announcement of Perfect

《黑神话：悟空》发行平台遭DDoS攻击的更多细节

《黑神话：悟空》发行平台遭DDoS攻击的更多细节

事件回顾 8月24日晚，Steam平台突然崩溃，国内外玩家纷纷反馈无法登录。许多玩家猜测崩溃是由于《黑神话：悟空》在线人数过多导致。然而，根据完美世界竞技平台的公告，此次Steam崩溃实际上是因为遭受了大规模DDoS攻击。完美世界公告 Downdetector用户报告的Steam 中断情况关于此次事件XLab的观察 XLAB大网威胁感知系统对最近的DDoS攻击事件进行了深入观察。我们注意到，此次攻击涉及了近60个僵尸网络主控节点，这一规模远超过常规僵尸网络的控制范围。这些主控节点协同指挥了大量被感染的bots，以波次方式发起了攻击。攻击的目标包括Steam在全球13个地区的服务器IP，包括中国、美国、新加坡、瑞典、德国、奥地利、西班牙、英国、日本、韩国、澳大利亚、智利和荷兰。值得注意的是，除了Steam自身的服务器外，国内完美世界代理的Steam服务器也被列为攻击目标。总计，有107个服务器IP遭到了攻击。攻击行动主要分为四个波次，攻击者似乎有意选择在各个时区的游戏玩家在线高峰时段发起攻击，以实现最大的破坏效果。从攻击的时间选择、

关于特朗普与马斯克访谈直播遭遇DDoS攻击事件快速介绍

关于特朗普与马斯克访谈直播遭遇DDoS攻击事件快速介绍

按: 昨天特朗普与马斯克访谈直播是否 x 真的遭受到了DDos攻击,我们看到安全社区有一些讨论,有一种倾向是认为实际上并没有攻击发生,从我们的视角看,攻击是真实的发生了,如下是一篇简要的情况介绍事件回顾按照原定计划，美东时间12日晚8时，埃隆·马斯克将对第60届美国总统大选候选人唐纳德·特朗普进行一次连麦直播访谈，并在X平台上通过马斯克和特朗普的个人账号进行现场直播。然而，当直播时间开始用户访问两人的直播间时，系统却提示“此直播间不可用”。直至40多分钟后，直播平台才恢复正常。访谈结束后，马斯克在其X平台账号上发文称X平台遭受了大规模的DDoS攻击。马斯克表示：“我对延迟启动表示歉意。不幸的是，我们的服务器遭到了大规模的DDoS攻击，我们所有的数据线路都饱和了，基本上数百GB的数据都饱和了。” 关于此次事件XLab的观察 XLAB大网威胁感知系统观察到了此次DDoS攻击事件。我们观察到有4个Mirai僵尸网络主控参与了此次攻击。另外还有其他攻击团伙使用HTTP代理攻击等方式也参与了此次攻击事件。攻击时间从北京时间8点37持续到9点28，攻击时

Behind the Scenes: A Brief Overview of the DDoS Attack on the Trump-Musk Livestream

Behind the Scenes: A Brief Overview of the DDoS Attack on the Trump-Musk Livestream

Note: There has been considerable discussion in both the media and the security community about whether the Trump and Musk interview livestream on X yesterday was indeed the target of a DDoS attack. While many suggest that no attack took place, our analysis indicates that the attack did occur. Below

8220 Mining Gang's New Tool: k4spreader

8220 Mining Gang's New Tool: k4spreader

Overview On June 17, 2024, we discovered an ELF sample written in C language with a detection rate of 0 on VT. This sample was packed with a modified upx packer. After unpacking, another modified upx-packed elf file was obtained which was written in CGO mode. After analysis, it was

8220挖矿团伙的新玩具：k4spreader

8220挖矿团伙的新玩具：k4spreader

一、概述 2024年6月17号我们发现了一个VT 0检测的使用c语言编写的ELF样本，这个样本使用变形的upx加壳，脱壳后得到了另一个变形的upx加壳的elf文件，使用cgo的方式编写。经过分析发现这是来自“8220“挖矿团伙的新工具，用来安装其他恶意软件执行，主要是构建Tsunami DDoS僵尸网络和安装PwnRig挖矿程序。根据样本中的函数名称将其命名为“k4spreader”，进一步分析了VT的和蜜罐的数据后，发现k4spreader尚处于开发阶段，但已经出现3个变种，因此在这做一个简单介绍。 “8220“团伙：又被称为“Water Sigbin”，是一个来自中国的、自2017年以来持续活跃的挖矿团伙，2017年11月，使用当时还是0day状态的Weblogic反序列化漏洞（CVE-2017-10271）入侵服务器植入挖矿木马，这是第一次被公开披露的使用0day漏洞入侵服务器植入挖矿木马的案例。该团伙擅长利用反序列化、未授权访问等漏洞攻击Windows和Linux服务器，随后下载僵尸网络程序、挖矿程序、端口扫描工具等对主机进行控制和恶意利用。之前挖矿是该团伙主要活跃领域，

CatDDoS-Related Gangs Have Seen a Recent Surge in Activity

CatDDoS-Related Gangs Have Seen a Recent Surge in Activity

Overview XLab's CTIA(Cyber Threat Insight Analysis) System continuously tracks and monitors the active mainstream DDoS botnets. Recently, our system has observed that CatDDoS-related gangs remain active and have exploited over 80 vulnerabilities over the last three months. Additionally, the maximum number of targets has been observed to exceed 300+

CatDDoS系团伙近期活动激增分析

CatDDoS系团伙近期活动激增分析

概述 XLab大网威胁感知系统会对当前活跃的主流DDoS僵尸网络家族进行持续跟踪和监控，最近3个月，这套系统观察到CatDDoS系团伙持续活跃，利用的漏洞数量达80+，攻击目标数量最大峰值300+/d，鉴于其活跃程度，我们整理了一份近期的各种数据分享给社区以供参考。漏洞利用根据视野内的数据，我们观察到CatDDoS系团伙最近3个月使用了大量的已知漏洞传播样本，总数达80多个。具体漏洞如下：这些漏洞影响的厂商设备如下： vendor Name product Name A-MTK Camera Apache ActiveMQ Apache Log4j Apache Rocketmq Avtech Camera Barni Master Ip Camera01 Firmware Billion 5200W-T Firmware Cacti Cacti Cambiumnetworks Cnpilot R190V Firmware Cisco Linksys Firmware Ctekproducts Sk

Deep Dive into NXDOMAIN Data in China

Deep Dive into NXDOMAIN Data in China

The Domain Name System (DNS) is an essential protocol in the architecture of today's Internet. It routinely translates domain names into IP addresses and also often handles a multitude of invalid queries. These include requests for non-existent domain names, termed NXDOMAIN. A high volume of such invalid queries can adversely

中国全网DNS错误数据分析

在电影《流浪地球2》中，重启全球互联网的情节让观众印象深刻，影片中重启根服务器象征着全球DNS（Domain Name System）解析服务的重新启动。在现实世界中，DNS不仅承担着将域名转换为IP地址的常规解析任务，还经常接收到众多无效查询：不存在的域名，即NXDOMAIN（Non-Existent Domain）。大量无效查询会影响用户上网体验，增加网络运营商负担，甚至某些情况下还会危及到各级DNS解析器的稳定性。作为中国主要的DNS基础设施服务提供商之一，奇安信运营着国内规模最大的公共DNS解析系统和最大的公开的PassiveDNS系统。这赋予了我们广阔且清晰的视角，能够从全国范围内观测DNS运行状况，对DNS运作过程进行充分的分析和解读。本文依托奇安信公共DNS海量的递归解析数据，从DNS解析数据中一个关键指标——NXDOMAIN数据入手，从中国视角出发对其进行全面分析。文章共分为三个部分：第一部分比较了中国与全球DNS系统中错误域名查询的共性与差异，并探讨了这些差异的原因。第二部分从域名的视角出发，全面分析错误域名的产生原因及其影响。第三部分从地域的角度，对比中国不

Rimasuta New Variant Switches to ChaCha20 Encryption Algorithm

In June 2021, 360netlab discovered a completely new variant of the Mirai malware. It was named Mirai_ptea based on the use of the TEA algorithm. However, the author of the malware expressed dissatisfaction in subsequent samples after the variant was publicly disclosed to the community: “-_- you guys

Rimasuta新变种出现，改用ChaCha20加密

时间回到两年前，2021年6月360netlab捕获到一个全新的mirai变种，根据使用的TEA算法给它取名为mirai_ptea，没想到在向社区公布了该变种之后，作者在随后更新的样本里吐槽了360netlab的命名： “-_- you guys didnt pick up on the name? really??? its RI-MA-SU-TA. not MIRAI_PTEA this is dumb name.” 鉴于作者吐槽，360netlab也是将后续命名更改为Mirai_ptea_Rimasuta。当时以为又是一个生命短暂的僵尸网络，然而在最近的botnet观测中，rimasuta再次回到了我们的视野。 rimasuta的整体架构没有发生变化，比如通信过程就延用了之前的设计思路，采用Tor Proxy进行通信，但在加密算法、协议格式等方面发生了改变。本文通过对rimasuta新变种的分析，尝试为这个活跃了三年的botnet勾勒出一条时间线，方便社区了解。时间线 * 2021年6月22日360netlab观察到mirai_ptea利用KGUARD DVR漏洞