奇安信 X 实验室 (Page 2)

奇安信 X 实验室

中国全网DNS错误数据分析

在电影《流浪地球2》中，重启全球互联网的情节让观众印象深刻，影片中重启根服务器象征着全球DNS（Domain Name System）解析服务的重新启动。在现实世界中，DNS不仅承担着将域名转换为IP地址的常规解析任务，还经常接收到众多无效查询：不存在的域名，即NXDOMAIN（Non-Existent Domain）。大量无效查询会影响用户上网体验，增加网络运营商负担，甚至某些情况下还会危及到各级DNS解析器的稳定性。作为中国主要的DNS基础设施服务提供商之一，奇安信运营着国内规模最大的公共DNS解析系统和最大的公开的PassiveDNS系统。这赋予了我们广阔且清晰的视角，能够从全国范围内观测DNS运行状况，对DNS运作过程进行充分的分析和解读。本文依托奇安信公共DNS海量的递归解析数据，从DNS解析数据中一个关键指标——NXDOMAIN数据入手，从中国视角出发对其进行全面分析。文章共分为三个部分：第一部分比较了中国与全球DNS系统中错误域名查询的共性与差异，并探讨了这些差异的原因。第二部分从域名的视角出发，全面分析错误域名的产生原因及其影响。第三部分从地域的角度，对比中国不

Bigpanzi Exposed: The Hidden Cyber Threat Behind Your Set-Top Box

Bigpanzi Exposed: The Hidden Cyber Threat Behind Your Set-Top Box

Background Some time ago, we intercepted a dubious ELF sample exhibiting zero detection on VirusTotal. This sample, named pandoraspear and employing a modified UPX shell, has an MD5 signature of 9a1a6d484297a4e5d6249253f216ed69. Our analysis revealed that it hardcoded nine C2 domain names, two of which had lapsed beyond their expiration protection

笼罩在机顶盒上空的阴影：揭开隐蔽8年黑灰产团伙Bigpanzi的神秘面纱

笼罩在机顶盒上空的阴影：揭开隐蔽8年黑灰产团伙Bigpanzi的神秘面纱

背景一段时间之前，我们捕获了一个VT 0 检测，使用变形UPX加壳，名为pandoraspear，MD5为9a1a6d484297a4e5d6249253f216ed69的可疑ELF样本。在分析过程中，我们发现它硬编码了9个C2域名，其中有2个域名过期的保护期已过，于是我们注册了这2个域名用以度量botnet的规模。在我们能观测的时间内bot的巅峰日活为17万左右，绝大部分位于巴西。当这个团伙发现我们注册了他的域名之后，通过DDoS攻击我们注册的域名迫使域名下线以及修改被侵入设备hosts（通过修改机器hosts文件将特定域名指向特定IP，从而绕过DNS解析获得CC域名IP地址）等方式与我们展开了对抗，使得我们失去了大部分视野。很快我们完成了对样本的逆向分析，并实现了针对该僵尸网络的攻击指令跟踪。依托于指令跟踪，我们捕获了该僵尸网络的a.sh，pd.sh，cpcdn.sh等下载脚本，这些脚本直接或间接的扩展了我们的视野。从直接的层面来说，这些脚本直接提供了该黑产团伙额外的implants，如pcdn，ptcrack，p2p_peer等；从间接的层面来说，我们发现这些脚

Rimasuta New Variant Switches to ChaCha20 Encryption Algorithm

In June 2021, 360netlab discovered a completely new variant of the Mirai malware. It was named Mirai_ptea based on the use of the TEA algorithm. However, the author of the malware expressed dissatisfaction in subsequent samples after the variant was publicly disclosed to the community: “-_- you guys

Rimasuta新变种出现，改用ChaCha20加密

时间回到两年前，2021年6月360netlab捕获到一个全新的mirai变种，根据使用的TEA算法给它取名为mirai_ptea，没想到在向社区公布了该变种之后，作者在随后更新的样本里吐槽了360netlab的命名： “-_- you guys didnt pick up on the name? really??? its RI-MA-SU-TA. not MIRAI_PTEA this is dumb name.” 鉴于作者吐槽，360netlab也是将后续命名更改为Mirai_ptea_Rimasuta。当时以为又是一个生命短暂的僵尸网络，然而在最近的botnet观测中，rimasuta再次回到了我们的视野。 rimasuta的整体架构没有发生变化，比如通信过程就延用了之前的设计思路，采用Tor Proxy进行通信，但在加密算法、协议格式等方面发生了改变。本文通过对rimasuta新变种的分析，尝试为这个活跃了三年的botnet勾勒出一条时间线，方便社区了解。时间线 * 2021年6月22日360netlab观察到mirai_ptea利用KGUARD DVR漏洞

Mirai.TBOT Uncovered: Over 100 Groups and 30,000+ Infected Hosts in a big IoT Botnet

Overview As we all know Mirai was first discovered in 2016 and it infects IoT devices by exploiting their weak passwords and vulnerabilities. Once the devices are infected, they become part of a botnet controlled by attackers for large-scale distributed denial-of-service attacks. Mirai botnets usually classify bots into different groups

一个新的超大规模分组的Mirai变种僵尸网络TBOT

概述众所周知Mirai于2016年首次被发现，它通过利用物联网设备的弱密码和漏洞来感染它们。一旦设备感染，它们将成为网络的一部分，由攻击者控制，用于大规模的分布式拒绝服务攻击。Mirai僵尸网络通常根据感染方式或者被感染设备不同将Bot分为不同的组，以便攻击者更有效地管理和控制庞大的僵尸网络。近期我们注意到一个Mirai僵尸网络居然拥有100多个Bot分组，这引起了我们极大的兴趣。根据该僵尸网络进行Telnet扫描时会执行/bin/busybox hostname TBOT这一命令的特点，我们姑且将其命名为Mirai.TBOT。Mirai.TBOT僵尸网络有以下几个特点： * 超多Bot分组（100+ Bot分组），意味着感染方式比较多 * 具备0day利用能力 * C2使用OpenNIC自定义域名（部分样本中有32个域名，作者并没有全部注册） * 超大规模，2023年11月4日我们注册了上面提到的32个OpenNIC域名中的3个，结合连接这3个域名的Bot和网络流量中识别出来的该僵尸网络的Bot数量，我们能看到部分Mirai.TBOT僵尸网络的Bot数量，目前其Bo