CN

A collection of 21 posts
风云再起:全球160万电视被Vo1d僵尸网络操控,潜在危害令人担忧
Botnet

风云再起:全球160万电视被Vo1d僵尸网络操控,潜在危害令人担忧

引子 2025 年 2 月 24 日,美国全国广播公司新闻(NBC News)报道称:“华盛顿特区的美国住房与城市发展部(HUD)总部的电视设备突然播放了一段未经授权的 AI 生成视频。视频画面中,唐纳德·特朗普总统弯腰亲吻埃隆·马斯克的脚趾,并配以LONG LIVE THE REAL KING的醒目字幕。工作人员无法关闭只能被迫拔掉所有电视电源”。这一事件迅速引发舆论热议,公众广泛讨论。网络安全社区亦被触动,开始重新评估电视、机顶盒等设备被黑客攻陷后可能带来的重大风险。 "假如您正坐在沙发上看电视,突然屏幕开始闪烁,遥控器失灵,节目被一串乱码和诡异的指令取代。您的电视仿佛被一股无形的力量接管,变成了一个“数字傀儡”。这不是科幻电影,而是现实中正在发生的威胁——Vo1d僵尸网络正悄悄控制全球数百万台Android电视设备。" ----By奇安信XLab 背景介绍 2024年11月28日,XLab大网威胁感知系统监测到IP地址38.46.218.36正在传播一个VT 0 检测,
47 min read
CN

顶级域名ai.com认证Deepseek? ai.com的前世今生

在互联网世界中,顶级这个词常常被赋予神秘而崇高的含义。最近有媒体报道称,“顶级域名的持有者ai.com现在跳转到deepseek,表明已经认可了deepseek的能力”,之前还有一些技术背景的人士声称 ai.com已被OpenAI 收购。这些信息听起来非常专业,似乎确凿无疑,但经过仔细查证后发现,这些都是误传或错误解读。随着 DeepSeek的迅速走红,市场上鱼龙混杂的信息大量涌现,真假难辨,容易让人混淆视听。由于大规模的基础数据支持,奇安信Xlab在多个领域拥有很好的全局视野,能够实时监测互联网中的各种活动,也因此能够从数据角度解读很多网络中发生的现象。 本文正是基于我们的数据纬度,带大家一步步了解  ai.com 的真实历史和现状,帮助大家从纷繁复杂的信息中辨别真伪,同时也为大家提供一些技术背景知识,以便更全面地理解这一现象。 ai.com的前世今生 公开的whois数据显示,ai.com域名注册于1993年。 待售状态 从我们自己的数据能够看到该域名的最早信息为2014年,再之前的状态缺乏数据不可考了。 2014年之后的该域名为待售状态,并且其待售状态可以分为两部
7 min read
DeepSeek 出现大批仿冒域名并在持续增加中
PassiveDNS Featured

DeepSeek 出现大批仿冒域名并在持续增加中

在网络安全领域,由于大规模的基础数据支持,奇安信Xlab在多个领域拥有很好的全局视野,能够实时监测互联网中的各种活动,也因此能够发现许多有趣的现象。每当出现重大突发事件或现象级的爆火产品,总会有不同目的的行为随之而来。我们不仅能看到技术进步如何推动社会发展,同时也能看到一些别有用心的行为在暗中滋生。 例如,最近的加州大火引发了全球的关注,人们纷纷捐款以支援灾区。然而,黑客们却利用这种同情心,迅速设立假冒救灾网站,通过钓鱼手段骗取善款,导致不少善良的捐助者上当受骗。参见这里的新闻报告。 类似的情况,在科技领域的现象级事件中也屡见不鲜。最近,中国的DeepSeek 成为了人工智能领域的现象级爆火服务,短时间内吸引了大量关注。然而,我们在大规模域名观测系统中发现,DeepSeek 的爆火也带来了大量的仿冒网站、钓鱼网站。目前,我们检测到的仿冒 DeepSeek 相关网站数量,已成为近期监测数据中仿冒、抢注、钓鱼最多的类别之一。通常假冒抢注的网址数字多在十位级别至多百级别,但是这次,我们已经看到了超过2千个域名,而且现在看这个数字还在快速增加。 这类模仿现象,有的可能只是出于商业目的,想
7 min read
僵尸永远不死:大型僵尸网络AIRASHI近况分析
CN

僵尸永远不死:大型僵尸网络AIRASHI近况分析

概述 2024年8月XLab观察到一次有预谋的针对国产游戏《黑神话悟空》发行平台 Steam 和 完美世界的大规模DDoS攻击事件。此次攻击行动分为四个波次,攻击者精心挑选在各个时区的游戏玩家在线高峰时段发起长达数小时的持续攻击。并且同时攻击Steam和完美世界分布在全球13个地区的上百个服务器,以实现最大的破坏效果。而参与此次攻击行动的僵尸网络当时自称为AISURU。本文将要分析的正是AISURU僵尸网络的变种版本AIRASHI。 在上述攻击事件被曝光后,AISURU僵尸网络在9月短暂收手,停止了攻击活动。但在利益的驱使下10月对他们的僵尸网络进行了更新,根据样本特征我们命名为kitty。11月底,新的变种再次出现并在样本中11月底再次更新,并将僵尸网络更名为:AIRASHI。 当前AIRASHI僵尸网络主要有以下几个特点: * 使用美国Cambium Networks公司的cnPilot路由器0DAY漏洞传播样本 * 样本字符串使用RC4加密,CNC通信协议部分新增了HMAC-SHA256校验,使用chacha20加密 * CNC域名使用xlabresearc
12 min read
Gayfemboy:一个利用四信工业路由0DAY传播的僵尸网络
CN

Gayfemboy:一个利用四信工业路由0DAY传播的僵尸网络

概述 无数脚本小子怀揣着发财梦,拿着 Mirai 的源码兴高采烈地杀入 DDoS 黑产行业,幻想着靠僵尸网络大赚一笔。现实是残酷的,这些人来时满怀雄心,去时却灰头土脸,只给安全社区留下一个又一个只能活跃 3–4 天的 Mirai 变种。然而,今天的主角Gayfemboy是一个例外。 Gayfemboy 僵尸网络首次于 2024 年 2 月初被 XLab 捕获,并持续活跃至今。它的早期版本并不起眼,仅仅是一个使用 UPX 加壳的 Mirai 派生版本,毫无新意。然而,其背后的开发者显然不甘平庸,随后展开了一场激进的迭代进化之旅。他们从修改上线报文入手,开始尝试 UPX 变形壳,积极整合 Nday 漏洞,甚至自行挖掘 0day 漏洞,持续扩大 Gayfemboy
12 min read
APT

黑白通吃:Glutton木马潜伏主流PHP框架,隐秘侵袭长达1年

简介 2024年4月29日,XLab 大网威胁感知系统捕获一起异常活动:IP 172.247.127.210 正在传播 ELF 版本的 winnti 后门木马。APT 相关告警的出现迅速引起了我们的注意。进一步溯源发现,该 IP 曾于2023年12月20日传播一个VirusTotal 0检测的恶意PHP文件init_task.txt ,这一线索为我们后续的调查提供了重要切入点。 以 init_task 为线索,我们进一步发现了一系列关联的恶意 PHP payload,包括 task_loader、init_task_win32、client_loader、client_task、fetch_task、l0ader_shell 等。这些 payload 的设计灵活,既可以单独运行,
17 min read
APT

0检测的Melofee 木马新变种曝光,专攻RHEL 7.9系统

简介 2024年7月27日,XLab的大网威胁感知系统检测到 IP 地址 45.92.156.166 正在传播一个名为pskt的ELF 文件,它在 VirusTotal 上尚无检测。该样本触发了两条告警:文件存在 Overlay 区段,且通信域名疑似模仿微软。经过分析,我们确认这是一个专门针对 Red Hat Enterprise Linux (RHEL) 7.9 的 Melofee 后门木马变种。 Melofee 是一个用 C++ 编写的后门木马,支持信息收集、进程管理、文件操作和 SHELL 等功能,最早于 2023 年 3 月被 ExaTrack 披露,据信隶属于 APT 组织
8 min read
DarkCracks, 一个利用被黑GLPI, WORDPRESS站点充当中转的高级恶意载荷&升级框架
Botnet

DarkCracks, 一个利用被黑GLPI, WORDPRESS站点充当中转的高级恶意载荷&升级框架

摘要 我们的XLab大网威胁感知系统最近捕获了一个VirusTotal 0检测, 高持续、高隐匿、高完善升级设计、并利用高性能稳定在线设备作为其基础设施的恶意载荷投递&升级框架系统。 从我们的数据来看,这个我们命名为DarkCracks的恶意程序设计精良,背后的攻击者绝非普通的脚本小子。虽然我们对他的载荷投递&升级框架体系已经掌握,但由于高隐匿性,它的Launcher组件我们截止目前尚无显著视野。 不过在8月26日,我们看到在该项目的开发文件中新增一个受密码保护的名字resume的PDF文件,随后该文件被重命名为韩文김영미 이력서 (Kim Young-mi's resume),考虑到这是一个较为常见的韩文名字,我们高度怀疑这个组件的一部分功能是针对韩语用户群体的社工活动。 DarkCracks利用被黑的GLPI, WORDPRESS站点充当Downloader & C2,收集被入侵设备敏感信息,维持被入侵设备的长期访问权限,并利用这些设备作为中间节点控制其他设备或投递恶意载荷以隐匿攻击者痕迹。我们视野范围内的分布在不同国家的学校网站,公交系统,甚至监狱访客系统等公众服
29 min read
《黑神话:悟空》发行平台遭DDoS攻击的更多细节
DDoS

《黑神话:悟空》发行平台遭DDoS攻击的更多细节

事件回顾 8月24日晚,Steam平台突然崩溃,国内外玩家纷纷反馈无法登录。许多玩家猜测崩溃是由于《黑神话:悟空》在线人数过多导致。然而,根据完美世界竞技平台的公告,此次Steam崩溃实际上是因为遭受了大规模DDoS攻击。 完美世界公告 Downdetector用户报告的Steam 中断情况 关于此次事件XLab的观察 XLAB大网威胁感知系统对最近的DDoS攻击事件进行了深入观察。我们注意到,此次攻击涉及了近60个僵尸网络主控节点,这一规模远超过常规僵尸网络的控制范围。这些主控节点协同指挥了大量被感染的bots,以波次方式发起了攻击。 攻击的目标包括Steam在全球13个地区的服务器IP,包括中国、美国、新加坡、瑞典、德国、奥地利、西班牙、英国、日本、韩国、澳大利亚、智利和荷兰。值得注意的是,除了Steam自身的服务器外,国内完美世界代理的Steam服务器也被列为攻击目标。总计,有107个服务器IP遭到了攻击。 攻击行动主要分为四个波次,攻击者似乎有意选择在各个时区的游戏玩家在线高峰时段发起攻击,以实现最大的破坏效果。 从攻击的时间选择、
16 min read
关于特朗普与马斯克访谈直播遭遇DDoS攻击事件快速介绍
DDoS

关于特朗普与马斯克访谈直播遭遇DDoS攻击事件快速介绍

按: 昨天特朗普与马斯克访谈直播是否 x 真的遭受到了DDos攻击,我们看到安全社区有一些讨论,有一种倾向是认为实际上并没有攻击发生,从我们的视角看,攻击是真实的发生了,如下是一篇简要的情况介绍 事件回顾 按照原定计划,美东时间12日晚8时,埃隆·马斯克将对第60届美国总统大选候选人唐纳德·特朗普进行一次连麦直播访谈,并在X平台上通过马斯克和特朗普的个人账号进行现场直播。然而,当直播时间开始用户访问两人的直播间时,系统却提示“此直播间不可用”。直至40多分钟后,直播平台才恢复正常。 访谈结束后,马斯克在其X平台账号上发文称X平台遭受了大规模的DDoS攻击。 马斯克表示:“我对延迟启动表示歉意。不幸的是,我们的服务器遭到了大规模的DDoS攻击,我们所有的数据线路都饱和了,基本上数百GB的数据都饱和了。” 关于此次事件XLab的观察 XLAB大网威胁感知系统观察到了此次DDoS攻击事件。我们观察到有4个Mirai僵尸网络主控参与了此次攻击。另外还有其他攻击团伙使用HTTP代理攻击等方式也参与了此次攻击事件。攻击时间从北京时间8点37持续到9点28,攻击时
4 min read
8220挖矿团伙的新玩具:k4spreader
Backdoor

8220挖矿团伙的新玩具:k4spreader

一、概述 2024年6月17号我们发现了一个VT 0检测的使用c语言编写的ELF样本,这个样本使用变形的upx加壳,脱壳后得到了另一个变形的upx加壳的elf文件,使用cgo的方式编写。经过分析发现这是来自“8220“挖矿团伙的新工具,用来安装其他恶意软件执行,主要是构建Tsunami DDoS僵尸网络和安装PwnRig挖矿程序。根据样本中的函数名称将其命名为“k4spreader”,进一步分析了VT的和蜜罐的数据后,发现k4spreader尚处于开发阶段,但已经出现3个变种,因此在这做一个简单介绍。 “8220“团伙:又被称为“Water Sigbin”,是一个来自中国的、自2017年以来持续活跃的挖矿团伙,2017年11月,使用当时还是0day状态的Weblogic反序列化漏洞(CVE-2017-10271)入侵服务器植入挖矿木马,这是第一次被公开披露的使用0day漏洞入侵服务器植入挖矿木马的案例。该团伙擅长利用反序列化、 未授权访问等漏洞攻击Windows和Linux服务器,随后下载僵尸网络程序、挖矿程序、端口扫描工具等对主机进行控制和恶意利用。之前挖矿是该团伙主要活跃领域,
12 min read
虫潮降临:Zergeca僵尸网络分析报告
DDoS

虫潮降临:Zergeca僵尸网络分析报告

背景 2024年5月20日,当大家都在愉快地庆祝节日时,不知疲倦的XLab大网威胁感知系统于14点左右捕获了一个可疑的ELF文件,路径为/usr/bin/geomi。该文件使用变形的UPX加壳,幻数为0x30219101,从俄罗斯上传到VirusTotal,未被任何杀软引擎检测出恶意行为。当晚22点,另一个使用相同UPX幻数的geomi文件从德国上传到VT。可疑的文件路径的,变形的UPX壳,以及多国上传的情况引起了我们的关注。经过分析,我们确认这是一个使用Golang实现的僵尸网络。由于其C2使用了“ootheca”字符串,让人联想到星际争霸中的铺天盖地的虫族,我们将其命名为Zergeca。 从功能上来说,Zergeca不仅是一个典型的DDoS僵尸网络,除了支持六种不同的攻击方法外,还具备代理、扫描、自升级、持久化、文件传输、反向shell和收集设备敏感信息等功能。从网络通信来看,Zergeca也具有以下独特之处: 1. 支持多种DNS解析方式,优先使用DOH进行C2解析 2. 使用不常见的Smux库实现C2通信协议,并通过xor进行加密 在对Zergeca的基础设
17 min read
警惕:Kiteshield Packer正在被Linux黑灰产滥用
Packer

警惕:Kiteshield Packer正在被Linux黑灰产滥用

背景 近一个月XLab的大网威胁感知系统捕获了一批VT低检测且很相似的可疑ELF文件。我们在满心期待中开始了逆向分析,期间经历了反调试,字串混淆,XOR加密,RC4加密等等一系列对抗手段。坦白的说,在这个过程中我们是非常开心的,因为对抗越多,越能说明样本的“不同凡响”,或许我们抓到了一条大鱼。 然而,结果却让人失望。这批样本之所以检测率低,是因为它们都使用了一个名为Kiteshield的壳。最终,我们发现这些样本都是已知的威胁,分别隶属于APT组织Winnti、黑产团伙暗蚊,以及某不知名的脚本小子。 尽管我们未能从这批样本中发现新的威胁,但低检测率本身也是一种重要的发现。显然,不同级别的黑灰产组织都开始使用Kiteshield来实现免杀,而目前安全厂商对这种壳还缺乏足够的认知。随着一年一度的大型网络演练临近,我们不排除攻击方使用Kiteshield的可能性。因此,我们认为有必要编写本文,向社区分享我们的发现,以促进杀软引擎对Kiteshield壳的处理能力。 Kiteshield Packer介绍 简单来说,Kiteshield是一个针对x86-64 ELF二进制
10 min read
CatDDoS系团伙近期活动激增分析
Botnet

CatDDoS系团伙近期活动激增分析

概述 XLab大网威胁感知系统会对当前活跃的主流DDoS僵尸网络家族进行持续跟踪和监控,最近3个月,这套系统观察到CatDDoS系团伙持续活跃,利用的漏洞数量达80+,攻击目标数量最大峰值300+/d,鉴于其活跃程度,我们整理了一份近期的各种数据分享给社区以供参考。 漏洞利用 根据视野内的数据,我们观察到CatDDoS系团伙最近3个月使用了大量的已知漏洞传播样本,总数达80多个。具体漏洞如下: 这些漏洞影响的厂商设备如下: vendor Name product Name A-MTK Camera Apache ActiveMQ Apache Log4j Apache Rocketmq Avtech Camera Barni Master Ip Camera01 Firmware Billion 5200W-T Firmware Cacti Cacti Cambiumnetworks Cnpilot R190V Firmware Cisco Linksys Firmware Ctekproducts Sk
10 min read
假死疑云:Wpeeper木马所图为何?
Backdoor

假死疑云:Wpeeper木马所图为何?

简介 2024年4月18日,XLab的未知威胁狩猎系统发现一个VT 0检测的ELF文件正通过2个不同的域名传播,其中一个域名已被3家安全产商标注为恶意,另一个域名为近期注册且无任何检测,这个异常点引起了我们的注意。经过分析,我们确认此ELF是一个针对Android系统的恶意软件,基于它使用被黑的WORD PRESS站点做为中转C2,我们将其命名为Wpeeper。 Wpeeper是一个针对Android系统的典型后门木马,支持收集设备敏感信息,文件&目录管理,上传&下载,执行命令等诸多功能。Wpeeper最大的亮点在于网络层面,以下3点体现了其作者的用心程度: 1. 依托被黑的WORD PRESS站点构建多层级的C2架构,隐藏真正的C2 2. 使用Session字段区分请求,HTTPS协议保护网络流量 3. C2下发的指令使用AES加密并带有椭圆曲线签名,防止被接管 Wpeeper来源于“二次打包”的UPtodown Store应用,攻击者向正常的APK中植入了一小段代码用于下载执行恶意的ELF。由于新增的代码量很少,被修改的APK目前在VT上也是0检测。UPtod
15 min read
Botnet

使用DGA的僵尸网络Mirai Nomi

概述 Mirai家族作为botnet的常青树,存在众多变种,但极少出现使用DGA的Mirai变种,据我们观测,上一个使用DGA(Domain Generation Algorithm)的Mirai变种出现于2016年。2024年3月,我们捕获到了新的可疑ELF样本,通过分析得知是另一个使用DGA的Mirai变种,分析关联的历史样本,我们不仅发现了没有使用DGA的版本(2024.02),还发现了漏洞扫描器和远控样本(2024.01),这引起我们的极大兴趣。根据下载脚本中的版本信息,我们姑且将其命名为Mirai.Nomi。 Mirai.Nomi样本具有以下特点: * 魔改UPX壳(修改UPX魔术头、异或原始载荷) * 使用时间相关的DGA并加入验证机制 * 使用多个加密算法、哈希算法(AES、CHACHA20、MD5) 样本分析 最新ELF样本修改自Mirai LZRD变种,新增了持久化函数和域名生成函数,其他部分基本沿用原始代码。UPX壳修改魔术头为0B 3E 2A AF 解压缩每个block后,单字节异或0xD4,可通过动态dump或者重新编译UP
7 min read
币安智能合约正在被Smargaft僵尸网络滥用
DDoS

币安智能合约正在被Smargaft僵尸网络滥用

背景 在XLab的日常工作中,我们的僵尸网络监控系统每天都能检测到大量基于Mirai, Gafgyt代码魔改而来的变体的僵尸网络。这些变体已经司空见惯,无法引起我们的兴趣。然而,今天的主角是一个异类,虽然它复用了一些Gafgyt的攻击向量,但很明显程序的逻辑结构是重新设计的。除此之外其作者还有一些让人眼前一亮的创新,比如利用币安智能链(Binance Smart Chain)的合约托管命令和控制中心(C2),比如通过病毒式感染Shell脚本实现持久化等。我们在进行逆向分析时,发现一些杀毒软件将这个僵尸网络的ARM样本标记为Mirai,这是不准确的。基于这个僵尸网络使用智能合约以及Gafgyt的攻击向量,我们将它命名为Smargaft,它的主要功能是DDoS攻击,执行系统命令,提供socks5代理服务等。 Smargaft最大的亮点是使用智能合约托管C2,这种技术于2023年10月被首次披露,业内称之为EtherHiding,它充分利用区块链的公开性和不可篡改性,"链上”的C2无法被移除,是一种相当高级且少见的Bullet-Proof Hosting技法。这是我们在僵尸网络
22 min read
中国全网DNS错误数据分析
DNS

中国全网DNS错误数据分析

在电影《流浪地球2》中,重启全球互联网的情节让观众印象深刻,影片中重启根服务器象征着全球DNS(Domain Name System)解析服务的重新启动。在现实世界中,DNS不仅承担着将域名转换为IP地址的常规解析任务,还经常接收到众多无效查询:不存在的域名,即NXDOMAIN(Non-Existent Domain)。大量无效查询会影响用户上网体验,增加网络运营商负担,甚至某些情况下还会危及到各级DNS解析器的稳定性。 作为中国主要的DNS基础设施服务提供商之一,奇安信运营着国内规模最大的公共DNS解析系统和最大的公开的PassiveDNS系统。这赋予了我们广阔且清晰的视角,能够从全国范围内观测DNS运行状况,对DNS运作过程进行充分的分析和解读。本文依托奇安信公共DNS海量的递归解析数据,从DNS解析数据中一个关键指标——NXDOMAIN数据入手,从中国视角出发对其进行全面分析。 文章共分为三个部分:第一部分比较了中国与全球DNS系统中错误域名查询的共性与差异,并探讨了这些差异的原因。第二部分从域名的视角出发,全面分析错误域名的产生原因及其影响。第三部分从地域的角度,对比中国不
43 min read
笼罩在机顶盒上空的阴影:揭开隐蔽8年黑灰产团伙Bigpanzi的神秘面纱
Botnet

笼罩在机顶盒上空的阴影:揭开隐蔽8年黑灰产团伙Bigpanzi的神秘面纱

背景 一段时间之前,我们捕获了一个VT 0 检测,使用变形UPX加壳,名为pandoraspear,MD5为9a1a6d484297a4e5d6249253f216ed69的可疑ELF样本。在分析过程中,我们发现它硬编码了9个C2域名,其中有2个域名过期的保护期已过,于是我们注册了这2个域名用以度量botnet的规模。在我们能观测的时间内bot的巅峰日活为17万左右,绝大部分位于巴西。 当这个团伙发现我们注册了他的域名之后,通过DDoS攻击我们注册的域名迫使域名下线以及修改被侵入设备hosts(通过修改机器hosts文件将特定域名指向特定IP,从而绕过DNS解析获得CC域名IP地址)等方式与我们展开了对抗,使得我们失去了大部分视野。 很快我们完成了对样本的逆向分析,并实现了针对该僵尸网络的攻击指令跟踪。依托于指令跟踪,我们捕获了该僵尸网络的a.sh,pd.sh,cpcdn.sh等下载脚本,这些脚本直接或间接的扩展了我们的视野。从直接的层面来说,这些脚本直接提供了该黑产团伙额外的implants,如pcdn,ptcrack,p2p_peer等;从间接的层面来说,我们发现这些脚
40 min read
Botnet

Rimasuta新变种出现,改用ChaCha20加密

时间回到两年前,2021年6月360netlab捕获到一个全新的mirai变种,根据使用的TEA算法给它取名为mirai_ptea,没想到在向社区公布了该变种之后,作者在随后更新的样本里吐槽了360netlab的命名: “-_- you guys didnt pick up on the name? really??? its RI-MA-SU-TA. not MIRAI_PTEA this is dumb name.” 鉴于作者吐槽,360netlab也是将后续命名更改为Mirai_ptea_Rimasuta。当时以为又是一个生命短暂的僵尸网络,然而在最近的botnet观测中,rimasuta再次回到了我们的视野。 rimasuta的整体架构没有发生变化,比如通信过程就延用了之前的设计思路,采用Tor Proxy进行通信,但在加密算法、协议格式等方面发生了改变。本文通过对rimasuta新变种的分析,尝试为这个活跃了三年的botnet勾勒出一条时间线,方便社区了解。 时间线 * 2021年6月22日360netlab观察到mirai_ptea利用KGUARD DVR漏洞
13 min read
Botnet

一个新的超大规模分组的Mirai变种僵尸网络TBOT

概述 众所周知Mirai于2016年首次被发现,它通过利用物联网设备的弱密码和漏洞来感染它们。一旦设备感染,它们将成为网络的一部分,由攻击者控制,用于大规模的分布式拒绝服务攻击。Mirai僵尸网络通常根据感染方式或者被感染设备不同将Bot分为不同的组,以便攻击者更有效地管理和控制庞大的僵尸网络。近期我们注意到一个Mirai僵尸网络居然拥有100多个Bot分组,这引起了我们极大的兴趣。根据该僵尸网络进行Telnet扫描时会执行/bin/busybox hostname TBOT这一命令的特点,我们姑且将其命名为Mirai.TBOT。Mirai.TBOT僵尸网络有以下几个特点: * 超多Bot分组(100+ Bot分组),意味着感染方式比较多 * 具备0day利用能力 * C2使用OpenNIC自定义域名(部分样本中有32个域名,作者并没有全部注册) * 超大规模,2023年11月4日我们注册了上面提到的32个OpenNIC域名中的3个,结合连接这3个域名的Bot和网络流量中识别出来的该僵尸网络的Bot数量,我们能看到部分Mirai.TBOT僵尸网络的Bot数量,目前其Bo
16 min read