Wang Hao - 奇安信 X 实验室

奇安信 X 实验室

Wang Hao

More details on the DDoS attack on the 《Black Myth: Wukong》 distribution platform

More details on the DDoS attack on the 《Black Myth: Wukong》 distribution platform

Incident Review On the evening of August 24th, Steam platform suddenly went down, with players around the world reporting that they were unable to log in. Many players speculate that the crash is caused by too many people online in Black Myth: Wukong. However, according to the announcement of Perfect

《黑神话：悟空》发行平台遭DDoS攻击的更多细节

《黑神话：悟空》发行平台遭DDoS攻击的更多细节

事件回顾 8月24日晚，Steam平台突然崩溃，国内外玩家纷纷反馈无法登录。许多玩家猜测崩溃是由于《黑神话：悟空》在线人数过多导致。然而，根据完美世界竞技平台的公告，此次Steam崩溃实际上是因为遭受了大规模DDoS攻击。完美世界公告 Downdetector用户报告的Steam 中断情况关于此次事件XLab的观察 XLAB大网威胁感知系统对最近的DDoS攻击事件进行了深入观察。我们注意到，此次攻击涉及了近60个僵尸网络主控节点，这一规模远超过常规僵尸网络的控制范围。这些主控节点协同指挥了大量被感染的bots，以波次方式发起了攻击。攻击的目标包括Steam在全球13个地区的服务器IP，包括中国、美国、新加坡、瑞典、德国、奥地利、西班牙、英国、日本、韩国、澳大利亚、智利和荷兰。值得注意的是，除了Steam自身的服务器外，国内完美世界代理的Steam服务器也被列为攻击目标。总计，有107个服务器IP遭到了攻击。攻击行动主要分为四个波次，攻击者似乎有意选择在各个时区的游戏玩家在线高峰时段发起攻击，以实现最大的破坏效果。从攻击的时间选择、

关于特朗普与马斯克访谈直播遭遇DDoS攻击事件快速介绍

关于特朗普与马斯克访谈直播遭遇DDoS攻击事件快速介绍

按: 昨天特朗普与马斯克访谈直播是否 x 真的遭受到了DDos攻击,我们看到安全社区有一些讨论,有一种倾向是认为实际上并没有攻击发生,从我们的视角看,攻击是真实的发生了,如下是一篇简要的情况介绍事件回顾按照原定计划，美东时间12日晚8时，埃隆·马斯克将对第60届美国总统大选候选人唐纳德·特朗普进行一次连麦直播访谈，并在X平台上通过马斯克和特朗普的个人账号进行现场直播。然而，当直播时间开始用户访问两人的直播间时，系统却提示“此直播间不可用”。直至40多分钟后，直播平台才恢复正常。访谈结束后，马斯克在其X平台账号上发文称X平台遭受了大规模的DDoS攻击。马斯克表示：“我对延迟启动表示歉意。不幸的是，我们的服务器遭到了大规模的DDoS攻击，我们所有的数据线路都饱和了，基本上数百GB的数据都饱和了。” 关于此次事件XLab的观察 XLAB大网威胁感知系统观察到了此次DDoS攻击事件。我们观察到有4个Mirai僵尸网络主控参与了此次攻击。另外还有其他攻击团伙使用HTTP代理攻击等方式也参与了此次攻击事件。攻击时间从北京时间8点37持续到9点28，攻击时

Behind the Scenes: A Brief Overview of the DDoS Attack on the Trump-Musk Livestream

Behind the Scenes: A Brief Overview of the DDoS Attack on the Trump-Musk Livestream

Note: There has been considerable discussion in both the media and the security community about whether the Trump and Musk interview livestream on X yesterday was indeed the target of a DDoS attack. While many suggest that no attack took place, our analysis indicates that the attack did occur. Below

Kiteshield Packer is Being Abused by Linux Cyber Threat Actors

Kiteshield Packer is Being Abused by Linux Cyber Threat Actors

Background Over the past month, XLab's CTIA(Cyber Threat Insight Analysis) System has captured a batch of suspicious ELF files with low detection rates on VT and very similar characteristics. Eager to delve into this, we commenced reverse engineering, facing a series of anti-debugging techniques, string obfuscation, XOR encryption, RC4

警惕：Kiteshield Packer正在被Linux黑灰产滥用

警惕：Kiteshield Packer正在被Linux黑灰产滥用

背景近一个月XLab的大网威胁感知系统捕获了一批VT低检测且很相似的可疑ELF文件。我们在满心期待中开始了逆向分析，期间经历了反调试，字串混淆，XOR加密，RC4加密等等一系列对抗手段。坦白的说，在这个过程中我们是非常开心的，因为对抗越多，越能说明样本的“不同凡响”，或许我们抓到了一条大鱼。然而，结果却让人失望。这批样本之所以检测率低，是因为它们都使用了一个名为Kiteshield的壳。最终，我们发现这些样本都是已知的威胁，分别隶属于APT组织Winnti、黑产团伙暗蚊，以及某不知名的脚本小子。尽管我们未能从这批样本中发现新的威胁，但低检测率本身也是一种重要的发现。显然，不同级别的黑灰产组织都开始使用Kiteshield来实现免杀，而目前安全厂商对这种壳还缺乏足够的认知。随着一年一度的大型网络演练临近，我们不排除攻击方使用Kiteshield的可能性。因此，我们认为有必要编写本文，向社区分享我们的发现，以促进杀软引擎对Kiteshield壳的处理能力。 Kiteshield Packer介绍简单来说，Kiteshield是一个针对x86-64 ELF二进制

CatDDoS-Related Gangs Have Seen a Recent Surge in Activity

CatDDoS-Related Gangs Have Seen a Recent Surge in Activity

Overview XLab's CTIA(Cyber Threat Insight Analysis) System continuously tracks and monitors the active mainstream DDoS botnets. Recently, our system has observed that CatDDoS-related gangs remain active and have exploited over 80 vulnerabilities over the last three months. Additionally, the maximum number of targets has been observed to exceed 300+

CatDDoS系团伙近期活动激增分析

CatDDoS系团伙近期活动激增分析

概述 XLab大网威胁感知系统会对当前活跃的主流DDoS僵尸网络家族进行持续跟踪和监控，最近3个月，这套系统观察到CatDDoS系团伙持续活跃，利用的漏洞数量达80+，攻击目标数量最大峰值300+/d，鉴于其活跃程度，我们整理了一份近期的各种数据分享给社区以供参考。漏洞利用根据视野内的数据，我们观察到CatDDoS系团伙最近3个月使用了大量的已知漏洞传播样本，总数达80多个。具体漏洞如下：这些漏洞影响的厂商设备如下： vendor Name product Name A-MTK Camera Apache ActiveMQ Apache Log4j Apache Rocketmq Avtech Camera Barni Master Ip Camera01 Firmware Billion 5200W-T Firmware Cacti Cacti Cambiumnetworks Cnpilot R190V Firmware Cisco Linksys Firmware Ctekproducts Sk

Mirai Nomi: A Botnet Leveraging DGA

Overview The Mirai family, as the evergreen tree of botnet, exists numerous variants, but rarely appear Mirai variants using DGA(Domain Generation Algorithm), according to our observation, the last Mirai variant using DGA appeared in 2016. in March 2024, we captured new suspicious ELF samples, which we learnt through analysis

使用DGA的僵尸网络Mirai Nomi

概述 Mirai家族作为botnet的常青树，存在众多变种，但极少出现使用DGA的Mirai变种，据我们观测，上一个使用DGA（Domain Generation Algorithm）的Mirai变种出现于2016年。2024年3月，我们捕获到了新的可疑ELF样本，通过分析得知是另一个使用DGA的Mirai变种，分析关联的历史样本，我们不仅发现了没有使用DGA的版本（2024.02），还发现了漏洞扫描器和远控样本（2024.01），这引起我们的极大兴趣。根据下载脚本中的版本信息，我们姑且将其命名为Mirai.Nomi。 Mirai.Nomi样本具有以下特点： * 魔改UPX壳（修改UPX魔术头、异或原始载荷） * 使用时间相关的DGA并加入验证机制 * 使用多个加密算法、哈希算法（AES、CHACHA20、MD5）样本分析最新ELF样本修改自Mirai LZRD变种，新增了持久化函数和域名生成函数，其他部分基本沿用原始代码。UPX壳修改魔术头为0B 3E 2A AF 解压缩每个block后，单字节异或0xD4，可通过动态dump或者重新编译UP

Rimasuta New Variant Switches to ChaCha20 Encryption Algorithm

In June 2021, 360netlab discovered a completely new variant of the Mirai malware. It was named Mirai_ptea based on the use of the TEA algorithm. However, the author of the malware expressed dissatisfaction in subsequent samples after the variant was publicly disclosed to the community: “-_- you guys

Rimasuta新变种出现，改用ChaCha20加密

时间回到两年前，2021年6月360netlab捕获到一个全新的mirai变种，根据使用的TEA算法给它取名为mirai_ptea，没想到在向社区公布了该变种之后，作者在随后更新的样本里吐槽了360netlab的命名： “-_- you guys didnt pick up on the name? really??? its RI-MA-SU-TA. not MIRAI_PTEA this is dumb name.” 鉴于作者吐槽，360netlab也是将后续命名更改为Mirai_ptea_Rimasuta。当时以为又是一个生命短暂的僵尸网络，然而在最近的botnet观测中，rimasuta再次回到了我们的视野。 rimasuta的整体架构没有发生变化，比如通信过程就延用了之前的设计思路，采用Tor Proxy进行通信，但在加密算法、协议格式等方面发生了改变。本文通过对rimasuta新变种的分析，尝试为这个活跃了三年的botnet勾勒出一条时间线，方便社区了解。时间线 * 2021年6月22日360netlab观察到mirai_ptea利用KGUARD DVR漏洞

Mirai.TBOT Uncovered: Over 100 Groups and 30,000+ Infected Hosts in a big IoT Botnet

Overview As we all know Mirai was first discovered in 2016 and it infects IoT devices by exploiting their weak passwords and vulnerabilities. Once the devices are infected, they become part of a botnet controlled by attackers for large-scale distributed denial-of-service attacks. Mirai botnets usually classify bots into different groups

一个新的超大规模分组的Mirai变种僵尸网络TBOT

概述众所周知Mirai于2016年首次被发现，它通过利用物联网设备的弱密码和漏洞来感染它们。一旦设备感染，它们将成为网络的一部分，由攻击者控制，用于大规模的分布式拒绝服务攻击。Mirai僵尸网络通常根据感染方式或者被感染设备不同将Bot分为不同的组，以便攻击者更有效地管理和控制庞大的僵尸网络。近期我们注意到一个Mirai僵尸网络居然拥有100多个Bot分组，这引起了我们极大的兴趣。根据该僵尸网络进行Telnet扫描时会执行/bin/busybox hostname TBOT这一命令的特点，我们姑且将其命名为Mirai.TBOT。Mirai.TBOT僵尸网络有以下几个特点： * 超多Bot分组（100+ Bot分组），意味着感染方式比较多 * 具备0day利用能力 * C2使用OpenNIC自定义域名（部分样本中有32个域名，作者并没有全部注册） * 超大规模，2023年11月4日我们注册了上面提到的32个OpenNIC域名中的3个，结合连接这3个域名的Bot和网络流量中识别出来的该僵尸网络的Bot数量，我们能看到部分Mirai.TBOT僵尸网络的Bot数量，目前其Bo