daji

daji

CatDDoS系团伙近期活动激增分析
Botnet

CatDDoS系团伙近期活动激增分析

概述 XLab大网威胁感知系统会对当前活跃的主流DDoS僵尸网络家族进行持续跟踪和监控,最近3个月,这套系统观察到CatDDoS系团伙持续活跃,利用的漏洞数量达80+,攻击目标数量最大峰值300+/d,鉴于其活跃程度,我们整理了一份近期的各种数据分享给社区以供参考。 漏洞利用 根据视野内的数据,我们观察到CatDDoS系团伙最近3个月使用了大量的已知漏洞传播样本,总数达80多个。具体漏洞如下: 这些漏洞影响的厂商设备如下: vendor Name product Name A-MTK Camera Apache ActiveMQ Apache Log4j Apache Rocketmq Avtech Camera Barni Master Ip Camera01 Firmware Billion 5200W-T Firmware Cacti Cacti Cambiumnetworks Cnpilot R190V Firmware Cisco Linksys Firmware Ctekproducts Sk
10 min read
中国全网DNS错误数据分析
DNS

中国全网DNS错误数据分析

在电影《流浪地球2》中,重启全球互联网的情节让观众印象深刻,影片中重启根服务器象征着全球DNS(Domain Name System)解析服务的重新启动。在现实世界中,DNS不仅承担着将域名转换为IP地址的常规解析任务,还经常接收到众多无效查询:不存在的域名,即NXDOMAIN(Non-Existent Domain)。大量无效查询会影响用户上网体验,增加网络运营商负担,甚至某些情况下还会危及到各级DNS解析器的稳定性。 作为中国主要的DNS基础设施服务提供商之一,奇安信运营着国内规模最大的公共DNS解析系统和最大的公开的PassiveDNS系统。这赋予了我们广阔且清晰的视角,能够从全国范围内观测DNS运行状况,对DNS运作过程进行充分的分析和解读。本文依托奇安信公共DNS海量的递归解析数据,从DNS解析数据中一个关键指标——NXDOMAIN数据入手,从中国视角出发对其进行全面分析。 文章共分为三个部分:第一部分比较了中国与全球DNS系统中错误域名查询的共性与差异,并探讨了这些差异的原因。第二部分从域名的视角出发,全面分析错误域名的产生原因及其影响。第三部分从地域的角度,对比中国不
43 min read
Botnet

Rimasuta新变种出现,改用ChaCha20加密

时间回到两年前,2021年6月360netlab捕获到一个全新的mirai变种,根据使用的TEA算法给它取名为mirai_ptea,没想到在向社区公布了该变种之后,作者在随后更新的样本里吐槽了360netlab的命名: “-_- you guys didnt pick up on the name? really??? its RI-MA-SU-TA. not MIRAI_PTEA this is dumb name.” 鉴于作者吐槽,360netlab也是将后续命名更改为Mirai_ptea_Rimasuta。当时以为又是一个生命短暂的僵尸网络,然而在最近的botnet观测中,rimasuta再次回到了我们的视野。 rimasuta的整体架构没有发生变化,比如通信过程就延用了之前的设计思路,采用Tor Proxy进行通信,但在加密算法、协议格式等方面发生了改变。本文通过对rimasuta新变种的分析,尝试为这个活跃了三年的botnet勾勒出一条时间线,方便社区了解。 时间线 * 2021年6月22日360netlab观察到mirai_ptea利用KGUARD DVR漏洞
13 min read