Botnet - 奇安信 X 实验室 (Page 2)

奇安信 X 实验室

Botnet

A collection of 29 posts

Rimasuta New Variant Switches to ChaCha20 Encryption Algorithm

In June 2021, 360netlab discovered a completely new variant of the Mirai malware. It was named Mirai_ptea based on the use of the TEA algorithm. However, the author of the malware expressed dissatisfaction in subsequent samples after the variant was publicly disclosed to the community: “-_- you guys

Rimasuta新变种出现，改用ChaCha20加密

时间回到两年前，2021年6月360netlab捕获到一个全新的mirai变种，根据使用的TEA算法给它取名为mirai_ptea，没想到在向社区公布了该变种之后，作者在随后更新的样本里吐槽了360netlab的命名： “-_- you guys didnt pick up on the name? really??? its RI-MA-SU-TA. not MIRAI_PTEA this is dumb name.” 鉴于作者吐槽，360netlab也是将后续命名更改为Mirai_ptea_Rimasuta。当时以为又是一个生命短暂的僵尸网络，然而在最近的botnet观测中，rimasuta再次回到了我们的视野。 rimasuta的整体架构没有发生变化，比如通信过程就延用了之前的设计思路，采用Tor Proxy进行通信，但在加密算法、协议格式等方面发生了改变。本文通过对rimasuta新变种的分析，尝试为这个活跃了三年的botnet勾勒出一条时间线，方便社区了解。时间线 * 2021年6月22日360netlab观察到mirai_ptea利用KGUARD DVR漏洞

Mirai.TBOT Uncovered: Over 100 Groups and 30,000+ Infected Hosts in a big IoT Botnet

Overview As we all know Mirai was first discovered in 2016 and it infects IoT devices by exploiting their weak passwords and vulnerabilities. Once the devices are infected, they become part of a botnet controlled by attackers for large-scale distributed denial-of-service attacks. Mirai botnets usually classify bots into different groups

一个新的超大规模分组的Mirai变种僵尸网络TBOT

概述众所周知Mirai于2016年首次被发现，它通过利用物联网设备的弱密码和漏洞来感染它们。一旦设备感染，它们将成为网络的一部分，由攻击者控制，用于大规模的分布式拒绝服务攻击。Mirai僵尸网络通常根据感染方式或者被感染设备不同将Bot分为不同的组，以便攻击者更有效地管理和控制庞大的僵尸网络。近期我们注意到一个Mirai僵尸网络居然拥有100多个Bot分组，这引起了我们极大的兴趣。根据该僵尸网络进行Telnet扫描时会执行/bin/busybox hostname TBOT这一命令的特点，我们姑且将其命名为Mirai.TBOT。Mirai.TBOT僵尸网络有以下几个特点： * 超多Bot分组（100+ Bot分组），意味着感染方式比较多 * 具备0day利用能力 * C2使用OpenNIC自定义域名（部分样本中有32个域名，作者并没有全部注册） * 超大规模，2023年11月4日我们注册了上面提到的32个OpenNIC域名中的3个，结合连接这3个域名的Bot和网络流量中识别出来的该僵尸网络的Bot数量，我们能看到部分Mirai.TBOT僵尸网络的Bot数量，目前其Bo