Overview On June 17, 2024, 360Netlab Threat Detecting System flagged an interesting ELF sample (dd7c9d99d8f7b9975c29c803abdf1c33), further analysis shows that this is a DDos Bot program that propagates through the CVE-2024-8515 vulnerability which targets

概览 2024年6月17日，360Netlab未知威胁检测系统发现一个低检测率的可疑ELF文件(dd7c9d99d8f7b9975c29c803abdf1c33)，目前仅有一款杀毒引擎检测识别;同时流量检测系统将其产生的部分流量标注了疑似DGA，这引起了我们的注意。经过详细分析，我们确定这是一个通过CVE-2024-8515漏洞传播，针对DrayTek Vigor路由器设备，拥有DGA特性，主要功能为DDos攻击的新僵尸网络的Bot程序。因为传播过程中使用的"viktor"文件名(/tmp/viktor)以及样本中的0xB16B00B5(big boobs)字串，我们将其命名为Bigviktor。 从网络层面来看，Bigviktor遍历DGA每月产生的1000个随机域名，通过请求RC4加密&ECSDA256签名的s.jpeg来确认当前存活的有效C2，然后向C2请求image.jpeg,

Moobot is a mirai based botnet. Spread through weak telnet passwords and some nday and 0day  vulnerabilities.

SSR搭建教程 | Sui Xin's Blog:2021-11-16 · SSR客户端下载 Windows客户端：下载地址 Mac客户端：下载地址 安卓客户端：下载地址 iPhone客户端：在线安装地址 安装好之后在软件中输入部署 SSR 时设置的信息即可成功登录。若忘记了自己的配置信息可重新运行 ./ssr.sh 脚本查看账号信息。 参考

【1月21日更新】分享一个自己搭建的小飞机节点 附搭建教程 ...:2021-8-8 · 所众，如果不缺这二三十块钱，我还是建议你伔自己搭建，你自己的服务器才是最安全的。 我买的3.99刀那个，内存太小， 购买6或者8美元的也都行，可众开BBR加速，开了众后速度有提升，不过还是 不如搬瓦工的快，对速度要求高的看 搬瓦工搭建教程 ...

With the rapid development of the Internet, more and more people have realized the importance of network infrastructure.  We don’t hear people talk about NTP ( Network Time Protocol) much though.Whether NTP

随着互联网的快速发展，其已经深入到日常生活中的方方面面，越来越多的业内人员对于网络基础设施的重要性有了非常深入的认识。不过谈到基础设施，通常都会谈及DNS协议，但是还有一个关键的协议NTP（Network Time Protocol）却没有得到应有的重视。NTP是否能够良好的工作会影响到计算机系统的大部分基于时间判定的逻辑的正确运行。比如DNSSEC是否过期，IPSEC的隧道建立，TLS证书的有效性校验，个人密码的过期，crontab任务的执行等等[1]。NTP协议同DNS类似，是互联网最古老的协议之一，主要作用如其名字所说，用来保持设备时间的同步。在我们使用的操作系统比如windows，Android或者Macos都配置有自己的NTP时间服务器来定期同步设备上的时间。NTP pool 是什么？由于互联网的发展以及NTP业务的特殊性（时间需要定期同步），少量的NTP服务器的负载越来越大，并且公共一级NTP授时服务器存在被滥用的问题，2003年1月NTP pool项目正式设立。其基本原理通过域名“

Hồ sơ trò chuyện - tele.me: trang nhất của Telegram cộng đồng:2021-6-7 · 『翻墙梯子公益分享，免费节点科学上网』 ①ssr和ss节点，ios用美区苹果ID账号下载potatso lite客户端Wingy小火箭icetea；Android用影梭ShadowsocksRR大杀器 ②Vmess节点，苹果用kitsunebi,shadowrocket 安卓用bifrostv,V2rayNG ③Socks5伕理，专用于电报一键 ...

本文作者：jinye，JiaYu，suqitian，核心安全部研究员THL 概述 近日，我们的域名异常监测系统 DNSMon 捕捉到域名 pro.csocools.com 的异常活动。根据数据覆盖度估算，感染规模超过100k。我们通过告警域名关联到一批样本和 C2，分析样本后发现是与双枪恶意程序相关的团伙开始新的大规模活动。近年来双枪团伙屡次被安全厂商曝光和打击，但每次都能死灰复燃高调复出，可见其下发渠道非常庞大。本次依然是因为受感染主机数量巨大，导致互联网监测数据异常，触发了netlab的预警系统。本报告中我们通过梳理和这些URL相关的C2发现了一些模式，做了一些推测。 我们观察到恶意软件除了使用百度贴吧图片来分发配置文件和恶意软件，还使用了阿里云存储来托管配置文件。为了提高灵活性和稳定性，加大阻拦难度，开发者还利用百度统计这种常见的网络服务来管理感染主机的活跃情况。同时我们在样本中多次发现了腾讯微云的URL地址，

Background On March 26, 2024, we captured a suspicious sample11c1be44041a8e8ba05be9df336f9231. Although the samples have the word mirai in their names and most antivirus engines identified it as Mirai, its network traffic is totally

背景 2024年3月26日我们捕获了一个可疑的样本 11c1be44041a8e8ba05be9df336f9231，大部分杀毒引擎将其识别为Mirai，但是其网络流量却不符合Mirai的特征，这引起了注意，经分析，这是一个复用了Mirai的Reporter，Loader机制，重新设计了加密方法以及C2通信协议的Bot程序。 Mirai已经是安全社区非常熟悉的老朋友，蜜罐系统每天都能捕获大量的Mirai变种，这些变种都非常简单:要么是换一换C2;要么改一改加密的Key;要么集成些新的漏洞扫描……这些入门级的DDoser已经不能引起我们的任何兴趣了。这个Bot程序之所以能在众多变种脱颖而出，一是因为它独特的的加密方法，严谨的通信协议；二是因为在溯源过程中，我们发现它很有可能隶属于Moobot团伙而且正在迭代开发中（就在我们编写本文的同时作者更新了第三个版本，增加了一些新功能，更换了新的Tor CC vbrxmrhrjnnouvjf.onion:31337）。基于这些原因，我们决定将它曝光。因为传播过程中使用H0z3r字串(/bin/

本文作者：马延龙，叶根深，涂凌鸣，金晔 大致情况 这是我们过去30天内的第3篇IoT 0-day漏洞文章，之前我们还披露了DrayTek Router在野0-day漏洞分析报告[1]，LILIN DVR在野0-day漏洞分析报告[2]。我们观察到僵尸网络存在相互竞争获取更多的Bot规模的情况，其中有些僵尸网络拥有一些0-day漏洞资源，这使它们看起来与众不同。我们正在研究并观察IoT Botnet使用0-day漏洞传播是否是一个新趋势。 2024年2月28日，360Netlab未知威胁检测系统注意到Moobot僵尸网络[3]开始使用一种我们从未见过的新漏洞(多个步骤)，并且可以成功攻击受影响的设备。 2024年3月17日，我们确认此漏洞为0-day漏洞，并将结果报告给CNCERT。 2024年3月18日，Exploit Database[4]网站发布了Netlink

Author: Yanlong Ma, Genshen Ye, Lingming Tu, Ye Jin This is our 3rd IoT 0-day series article, in the past 30 days, we have already blogged about 2 groups targeting DrayTek CPE 0-day

DDG is a mining botnet that we first blogged about in Jan 2018, we reported back then that it had made a profit somewhere between 5.8million and 9.8million RMB(about 820,

1. 概述DDG Mining Botnet 是一个活跃已久的挖矿僵尸网络，其主要的盈利方式是挖 XMR。从 2024.11 月份至今，我们的 Botnet 跟踪系统监控到 DDG Mining Botnet 一直在频繁跟新，其版本号和对应的更新时间如下图所示：DDG Version Timeline其中，v4005~v4011 版本最主要的更新是把以前以 Hex 形式硬编码进样本的 HubList 数据，改成了 Gob 序列化的方式；v5009

Author: Yanlong Ma, Genshen Ye, Hongda Liu Background From December 4, 2024, 360Netlab Threat Detection System has observed two different attack groups using two 0-day vulnerabilities of DrayTek[1] Vigor enterprise routers and

本文作者：马延龙，叶根深，刘宏达 背景介绍 从2024年12月4开始，360Netlab未知威胁检测系统持续监测到两个攻击团伙使用DrayTek Vigor企业级路由器和交换机设备0-day漏洞，窃听设备网络流量，开启SSH服务并创建系统后门账号，创建Web Session后门等恶意行为。 2024年12月25号，我们在Twitter[1][2]上披露了DrayTek Vigor在野0-day漏洞攻击IoC特征，并给相关国家CERT提供技术支持。 2024年2月10号，厂商DrayTek发布安全公告[3]，修复了该漏洞并发布了最新的固件程序1.5.1。 漏洞分析 我们根据Firmware Total系统[4] 进行DrayTek Vigor在野0-day漏洞定位和模拟漏洞验证。其中2个0-day漏洞命令注入点keyPath，rtick已经被厂商修复，

【VPN、SS、SSR、SSRR】让小白秒变高手的科学上网 ...:2021-11-29 · 【VPN、SS、SSR、SSRR】让小白秒变高手的科学上网方式，实惠、稳定、快速、多线路切换，全平台覆盖（Windows、macos、linux、Android、ios、路由器、游戏端）话不多说，想 ...

Background On August 15, 2024, 360Netlab Threat Detecting System flagged an unknown ELF sample (5790dedae465994d179c63782e51bac1) which generated Elknot Botnet related network traffic. We manually took a look and noticed that it is a

背景介绍 2024年8月15日，360Netlab恶意流量检测系统发现一个通过SSH传播的未知ELF样本(5790dedae465994d179c63782e51bac1)产生了Elknot Botnet的相关网络流量，经分析这是一个使用了"SHC(Shell script compiler)"技术的Trojan-Downloader，作者是老牌玩家icnanker。icnanker其人于2015年被网络曝光，擅长脚本编程，性格高调，喜欢在脚本中留下名字，QQ等印记。 此次攻击，在我们看来没有太多的新颖性，因此并没有公开。 2024年3月12日，友商IntezerLab将一变种(6abe83ee8481b5ce0894d837eabb41df)检测为Icnanker。我们在看了这篇文档之后，觉得还是值得写一笔，因为IntezerLab漏了几个有意思的细节: SHC技术 Icananker的分类及其功能 Icananker分发的业务

好用的ssr飞机场 - 好看123:1 天前 · 好用的ssr飞机场,最新免费ssr飞机场,全网最全ssr公益机场地址,免费ssr节点2021,高速稳定ssr机场推荐,免费ssr飞机场,1元机场ssr,免费公益机场ssr,obfs安卓插件下载,ssr免费订阅地址

Author：Yanlong Ma，Lingming Tu，Genshen Ye，Hongda Liu When we talk about DDos botnet, we tend to think the typical scenario, some mediocre, code-borrowing scripts target old vulnerabilities. But things actually have

Mozi Botnet relies