Frequent verification codes may appear for non-Mainland China IP visits. If visitors are severely affected, please send [IP|ASN](3.215.79.68|AS14618) to the bottom mailbox to add to the whitelist

文章列表

2022-05-11 10:53   公有云网络安全威胁情报(202204)    #360 Netlab Blog #安全文章 概述本文聚焦于云上重点资产的扫描攻击、云服务器总体攻击情况分析、热门漏洞及恶意程序的攻击威胁。360高级威胁狩猎蜜罐系统发现全球9.2万个云服务器IP进行网络扫描、漏洞攻击、传播恶意软件等行为。其中包括国内39家单位所属的云服务资产IP,这些单位涉及政府、医疗、建筑、军工等多个行业。2022年4月,WSO2多个产品和Apache Struts2爆出高危漏洞,两个漏洞技术细节已经公开,并且我们发现两个漏洞都已有在野利用和利用漏洞传播恶意软件的行为。本月共记录来源于云服务器的扫描和攻击会话3.7亿次,其中漏洞攻击会话2400万次,传播恶意软件会话77.2万次。云上重点资产扫描攻击四月份,我们共监测

2022-05-09 15:51   北京健康宝被网络攻击背后的数据分析    #360 Netlab Blog #安全文章 摘要北京健康宝在4月28日遭遇DDoS攻击,各保障团队快速响应、通力合作,将攻击影响快速消弭。如同战场,一次攻击被消除,但只要黑恶势力还在,下一次攻击可能已经在路上。为此,我们有必要深度分析一下其背后的攻击团队,了解其规模及攻击手法,做到知彼知己。通过360Netlab积累的多维度安全威胁数据,我们可以确定这次事件的发起方是我们内部命名为Rippr的团伙,它使用了已经披露过的恶意代码家族Fbot的作为攻击武器。如同现实世界的病毒一样,网络世界的恶意代码往往也基于旧有的恶意代码,不断地被一批又一批有“恶意目的”的人控制来演进、传播、利用。此次事件的Fbot变种,最早发现于2月10日,自被发现以来

2022-04-19 10:24   公有云网络安全威胁情报(202203)    #360 Netlab Blog #安全文章 概述本文聚焦于云上重点资产的扫描攻击、云服务器总体攻击情况分析、热门漏洞及恶意程序的攻击威胁。360高级威胁狩猎蜜罐系统发现全球12万个云服务器IP,进行网络扫描、漏洞攻击、传播恶意软件等行为。其中包括国内156家单位的服务器IP,涉及大型央企、政府机关等行业。Spring厂商连续公开3个关键漏洞,CVE-2022-22947、CVE-2022-22963、CVE-2022-22965,本文将对前两个漏洞进行细节分析,第三个漏洞细节点此查看。本月共记录威胁攻击8亿次有余(其中包括漏洞攻击7.4亿余次、传播恶意软件超5500万次),新增IoC累计68万余个,其中针对IoT设备的漏洞攻击呈上升趋势

2022-04-13 22:01   Fodcha, a new DDos botnet    #360 Netlab Blog #安全文章 OverviewRecently, CNCERT and 360netlab worked together and discovered a rapidly spreading DDoS botnet on the Internet. The global infection looks fairly big as just in China there are more than 10,000 daily active bots (IPs) and alsomore than 100 DDoS victims beingtargeted on a daily basis. We named

2022-04-13 12:13   新威胁:闷声发大财的Fodcha僵尸网络    #360 Netlab Blog #安全文章 本报告由国家互联网应急中心(CNCERT)与三六零数字安全科技集团有限公司共同发布。概述近期,CNCERT和三六零数字安全科技集团有限公司共同监测发现一个新的且在互联网上快速传播的DDoS僵尸网络,通过跟踪监测发现其每日上线境内肉鸡数(以IP数计算)已超过1万、且每日会针对超过100个攻击目标发起攻击,给网络空间带来较大威胁。由于该僵尸网络最初使用的C2域名folded.in,以及使用chacha算法来加密网络流量,我们将其命名为Fodcha。僵尸网络规模通过监测分析发现,2022年3月29日至4月10日Fodcha僵尸网络日上线境内肉鸡数最高达到1.5万台,累计感染肉鸡数达到6.2万。每日境

2022-04-02 18:42   俄乌危机中的数字证书:吊销、影响、缓解    #360 Netlab Blog #安全文章 背景当前这场始于2021的俄乌危机已经注定载入史册,不仅因为危机中的冲突会对传统政治地缘产生深远影响,也因为这些冲突历史性的全面蔓延到网络空间。我们(360Netlab)从独立采集到的数据出发,观察分析并呈现冲突中各利益相关方采取的行动和反制行动,希望有利于安全社区和政府决策机构思考自身在网络空间中的定位、态度和行动。本文中的观察分析基于网络资产的SSL证书数据库CertDB,它是360Netlab 运营的网络空间基础数据之一,它采集了几乎全部活跃的网络空间中的网站证书。证书是整个现代webPKI系统的最核心的部分之一。如果说DNS数据标识了网络资产的地址,那么证书就是网络资产的身份证。丢失或

2022-04-02 00:47   Spring4Shell在野漏洞传播分析    #360 Netlab Blog #安全文章 背景介绍2022年3月31号,Spring针对Spring4Shell漏洞(CVE-2022-22965)事件发布了安全公告[1],并提供了漏洞修复程序,此次漏洞事件在安全社区引起广泛关注。2022年3月21号,360网络安全研究院高级威胁狩猎蜜罐系统[2]首次监测到了该漏洞在野传播过程,我们也看到了Mirai僵尸网络入场,相关在野漏洞攻击威胁情报已通过自动化形式输出。可以看到在厂商安全公告之前,该漏洞已经开始在野传播并利用,这值得安全社区关注。Spring4Shell 在野传播2021年3月21日开始,360网络安全研究院高级威胁狩猎蜜罐系统持续监测到Spring4Shell漏洞(CVE-2

2022-04-02 00:47   What Our Honeypot Sees Just One Day After The Spring4Shell Advisory    #360 Netlab Blog #安全文章 BackgroundOn March 31, 2022, Spring issued a security advisory[1] for the Spring4Shell vulnerability (CVE-2022-22965), this vulnerability has caused widespread concern in the security community.When we looked back at our data, we noticed on March 21, 2022, 10 days BEFORE the vendor issued the adviso

2022-03-23 15:44   商业数字证书签发和使用使用情况分析    #360 Netlab Blog #安全文章 概要数字证书是整个现代webPKI系统的最核心的部分之一。如果说DNS数据标识了网络资产的地址,那么数字证书就是网络资产的身份证。没有或者丢失数字证书,就没有办法证明“我”就是“我”。因此PKI系统及其数据已经成为网络真正的基础设施,作为互联网安全运营的基础数据,重要性不言而喻。3月初,乌克兰政府向互联网域名管理结构ICANN书面请求将俄罗斯相关顶级域名“.ru”, “.рф” 和“.su”从互联网撤销[1],但ICANN并没有认同这份请求[2]。近日,我们注意到俄罗斯相关的一些国家基础设施网站的证书被证书机构陆续吊销。360Netlab在部门成立之后不久就通过主动、被动相结合的方式收集网络数

2022-03-15 22:00   New Threat: B1txor20, A Linux Backdoor Using DNS Tunnel    #360 Netlab Blog #安全文章 BackgroundSince the Log4J vulnerability was exposed, we see more and more malware jumped on the wagon, Elknot, Gafgyt, Mirai are all too familiar, on February 9, 2022, 360Netlab's honeypot system captured an unknown ELF file propagating through the Log4J vulnerability. What stands out is that the ne

2022-03-15 11:47   新威胁:使用DNS Tunnel技术的Linux后门B1txor20正在通过Log4j漏洞传播    #360 Netlab Blog #安全文章 背景自从Log4J漏洞被曝光后,正所谓"忽如一夜漏洞来,大黑小灰笑开怀”。无数黑产团伙摩拳擦掌加入了这个“狂欢派对”,其中既有许多业界非常熟悉的恶意软件家族,同时也有一些新兴势力想趁着这股东风在黑灰产上分一杯羹。360Netlab作为专注于蜜罐和Botnet检测跟踪的团队,我们自该漏洞被公开后就一直关注它会被哪些僵尸网络利用,期间我们看到了Elknot,Gafgyt,Mirai等老朋友的从不缺席,也见证了一些新朋友的粉墨登场。2022年2月9日,360Netlab的蜜罐系统捕获了一个未知的ELF文件通过Log4J漏洞传播,此文件在运行时产生的网络流量引发了疑似DNS Tunnel的告

2022-03-11 12:21   公有云网络安全威胁情报(202202)    #360 Netlab Blog #安全文章 1. 概述17个云上重点资产有漏洞攻击行为,包括某民主党派市级委员会、某县级中医院等云上重点单位。随着俄乌冲突全面升级,我们发现有攻击者利用Docker Remote API未授权访问漏洞,对俄罗斯境内服务器发起拒绝服务(DoS)网络攻击。Apache APISIX本月爆出远程代码执行漏洞(CVE-2022-24112),攻击者通过两种攻击方式可远程执行恶意代码。本文主要通过360网络安全研究院 Anglerfish蜜罐视角,分析云上热门漏洞攻击细节,以及云上重要资产在公网上发起攻击的情况。2. 云上资产对外扫描攻击2月份我们共发现17个命中蜜罐节点的重要单位的云上资产,下表为其中一部分案例,

2022-02-26 00:14   Some details of the DDoS attacks targeting Ukraine and Russia in recent days    #360 Netlab Blog #安全文章 At 360Netlab, we continuously track botnets on a global scale through our BotMon system. In particular, for DDoS-related botnets, we further tap into their C2 communications to enable us really see the details of the attacks. Equipped with this visibility, when attack happens, we can have a clear pi

2022-02-24 10:40   用DTA照亮DNS威胁分析之路 (3)    #360 Netlab Blog #安全文章 --- 内置未知威胁分析模型介绍概述在系列文章2,介绍了如何利用DTA进行一轮完整的未知威胁分析,共有3个步骤:1、提出分析思路,从DNS日志里找到可疑线索2、确认可疑线索有威胁行为3、借助DNS日志确认资产被感染其中,这几个步骤里最为安全分析人员所熟悉的应该是步骤2,毕竟日常工作大家都少不了利用各家威胁情报平台、搜索引擎和云沙箱进行信息搜集+关联+确认可疑线索;而步骤1和3,因为涉及到DNS日志,对于不熟悉DNS的分析人员来说,是需要一定学习成本去积累相关分析经验和熟悉DTA的各类元数据的。因此,针对未知威胁分析,DTA预置了可疑心跳域名、可疑NOD(新出现在网络中的可疑域名)、可疑境外域名

By QianX.in