Splunk’s latest CISO Report reveals critical insights into cybersecurity priorities, threat trends, and strategies for resilience. In this Help Net Security video, Kirsty Paine, Field CTO & Strategic Advisor at Splunk, discusses the key findings and what they mean for security teams. From the rise of AI-driven threats to the growing pressure of compliance and incident response, CISOs are under more scrutiny than ever. This report highlights how security leaders adapt, invest in automation, and … More →
The post CISOs and boards see things differently appeared first on Help Net Security.
CrowdStrike has disclosed a high-severity vulnerability in its Falcon Sensor for Linux, Falcon Kubernetes Admission Controller, and Falcon Container Sensor. The vulnerability, identified as CVE-2025-1146, originates from a validation logic error in the Transport Layer Security (TLS) connection routine. This vulnerability could allow attackers with control over network traffic to conduct man-in-the-middle (MiTM) attacks by […]
The post CrowdStrike Falcon Sensor for Linux TLS Vulnerability Enabling MiTM Attack appeared first on Cyber Security News.
IT leaders are grappling with increasingly complex database environments. According to a new survey from Redgate, key concerns include protecting sensitive data, navigating regulatory compliance, and managing the rise of multi-database platforms. 38% of IT teams are concerned about data security and access controls when managing different technologies, an increase of 12% year-on-year. Despite their advantages, 21% say they won’t adopt more than one database type simply because they’re concerned about security and compliance issues. … More →
The post Making sense of database complexity appeared first on Help Net Security.
服务台网络钓鱼活动主要针对Microsoft Active Directory Federation Services(ADFS),使用欺骗性的登录页面来窃取凭据和绕过多因素身份验证(MFA)保护措施。据发现该攻击的安全公司称,此次攻击的目标主要是教育、医疗和政府机构,攻击目标至少有150个。
这些攻击旨在访问公司电子邮件帐户,以将电子邮件发送给组织内的其他受害者或进行经济攻击(例如商业电子邮件妥协(BEC)),在此付款转移到威胁者的帐户中。
欺骗Microsoft Active Directory联合服务
Microsoft Active Directory Federation Services(ADFS)是一个身份验证系统,允许用户登录一次并访问多个应用程序和服务,而无需重复输入其凭据。它通常在大型组织中用于在基于内部和云的应用程序中提供单登录(SSO)。
攻击者会向冒充其公司IT团队的目标发送电子邮件,要求他们登录以更新其安全设置或接受新策略。
攻击中使用的网络钓鱼电子邮件示例
点击“嵌入式”按钮会将受害者带到一个看起来与他们组织的真实ADFS登录页面一模一样的网络钓鱼网站。网络钓鱼页面要求受害人输入其用户名,密码和MFA代码,或引导他们批准推送通知。
欺骗的ADFS门户
网络钓鱼模板还包括基于组织配置的MFA设置来捕获验证目标帐户所需的特定第二因素的表单,针对多种常用MFA机制的异常观察到的模板,包括Microsoft Authenticator,Duo Security和SMS验证。
两个可用的MFA旁路屏
一旦受害者提供了所有详细信息,他们就会被重定向到合法的登录页面,以减少怀疑,并使其看起来好像这个过程已经成功完成。
同时,攻击者立即利用窃取的信息登录受害者的帐户,窃取任何有价值的数据,创建新的电子邮件过滤规则,并尝试横向网络钓鱼。
安全公司表示,攻击者在这次活动中使用私人互联网接入VPN来掩盖他们的位置,并分配一个更接近组织的IP地址。
即使这些网络钓鱼攻击并没有直接违反ADF,而是依靠社会工程来工作,但由于许多用户对登录工作流的固有信任,该策略仍然是具有潜在有效性的。
安全工作人员建议相关企业应迁移到现代和更安全的解决方案,如Microsoft Entra,并引入额外的电子邮件过滤器和异常活动检测机制,以尽早阻止网络钓鱼攻击。
1 概述
挖矿木马通过各种手段将挖矿程序植入受害者的计算机中,在用户不知情的情况下,利用受害者计算机的运算能力进行挖矿,从而获取非法收益。目前已知多个威胁组织(例如,H2Miner、“8220”等)传播挖矿木马,致使用户系统资源被恶意占用和消耗、硬件寿命被缩短,严重影响用户生产生活,妨害国民经济和社会发展。2024年,安天CERT捕获了多起挖矿木马的攻击活动,现将2024年典型的挖矿木马梳理形成组织/家族概览,进行分享。
表 1‑1 2024年活跃挖矿木马组织/家族概览
2 挖矿木马的危害
1.加重信息系统基础设施资源消耗与运行风险:挖矿木马普遍消耗信息系统基础设施的大量资源,使操作系统及其服务、应用软件运行缓慢,甚至造成正常服务崩溃,产生承载业务中断、业务数据丢失等一系列负面影响;
2.危害信息系统基础设施使用寿命与运行性能:挖矿木马迫使信息系统基础设施长时间高负载运行,致使其使用寿命缩短,运行性能严重下降;
3.留置后门,衍生僵尸网络:挖矿木马普遍具有添加SSH免密登录后门、安装RPC后门,接收远程IRC服务器指令、安装Rootkit后门等恶意行为,致使受害组织网络沦为僵尸网络;
4.作为攻击跳板,攻击其他目标:挖矿木马支持攻击者控制受害者服务器进行DDoS攻击,以此服务器为跳板,攻击其他计算机,或者释放勒索软件索要赎金等。
3 挖矿木马趋势
3.1 BYOVD攻击成挖矿木马“新宠”
在2024年的挖矿木马事件应急响应中,安天CERT发现挖矿木马利用BYOVD(Bring Your Own Vulnerable Driver)攻击结束安全软件进程的案例增多。BYOVD攻击是APT中常见的攻击技术,现在挖矿攻击中也逐渐开始利用这种技术。它利用合法但存在漏洞的驱动程序来执行恶意操作,绕过安全防护措施。驱动程序运行在高权限的内核模式,攻击者可以通过其漏洞实现多种攻击目的。在挖矿攻击中,攻击者通过滥用合法安全厂商签名的驱动程序,绕过操作系统的安全机制,为挖矿活动提供支撑。这种手法不仅提升了攻击的隐蔽性,还利用安全软件的高权限执行能力,大幅增强了恶意挖矿的资源占用效率。在未来,BYOVD攻击可能与零日漏洞利用相结合,进一步提高攻击的复杂性和破坏性。这一趋势对政企安全提出更高的要求,防护重点应包括驱动程序的合法性检测与运行时行为监控等。
3.2 暗网矿池地址的兴起
2024年,安天CERT在监测挖矿攻击中发现个别挖矿木马采用了暗网地址进行挖矿的事件,如Perfctl恶意软件利用TOR进行挖矿,Outlaw挖矿僵尸网络在配置文件中添加了暗网地址,但还未开发出tor进行连接。这一趋势表明,攻击者正在加速向更隐秘、更难追踪的挖矿方式转型,以逃避传统安全防护和执法行动的打击。通过Tor网络或其他匿名通信协议,矿池运营者能够有效隐藏其真实位置和身份,难以被执法部门定位和取缔。暗网矿池普遍采用加密货币作为支付手段,结合匿名钱包技术,实现了攻击收益的完全匿名化。随着暗网矿池技术的不断成熟,传统基于互联网的挖矿威胁检测手段将变得无效。政企需调整防护策略,关注挖矿通信的特征分析和暗网流量的异常检测。
3.3合理资源分配致用户难以感知
2024年,挖矿木马在资源利用上更加智能化,表现为更合理的资源分配策略。如app Miner挖矿木马会检查系统环境是否有curl、Python、Perl等工具,如果没有会进行下载适配,在不同的系统上动态的调整CPU的功率或资源使用参数。Outlaw挖矿僵尸网络会获取目标主机的系统架构,根据系统架构调整默认线程数,arm架构线程数设置为75,i686架构线程数设置为325,其他架构默认线程数为475。这种趋势不仅提升了挖矿效率,还极大地增强了挖矿木马被发现感知的风险。智能化资源分配根据系统负载动态调整CPU和GPU的使用率,避免引起设备异常或用户注意。挖矿进程被设计为低优先级任务,在设备闲置时充分利用资源,而在用户活跃时降低消耗,从而延长挖矿周期。这种智能化资源分配的趋势使挖矿木马更具隐蔽性和持续性,成为网络威胁防护的难点。
4 活跃挖矿木马介绍
4.1“8220”
“8220”是一个长期活跃并且擅长使用漏洞进行攻击并部署挖矿程序的组织,该组织早期使用Docker镜像传播挖矿木马,后来逐步利用多个漏洞进行攻击,如WebLogic漏洞、Redis未授权访问漏洞、Hadoop Yarn未授权访问漏洞和Apache Struts漏洞等。在2020年发现该组织开始使用SSH暴力破解进行横向攻击传播。自Apache Log4j 2远程代码执行漏洞曝光后,该组织利用该漏洞制作漏洞利用脚本进行传播,影响范围广。
4.1.1组织概览
表 4‑1 “8220”挖矿组织介绍
组织名称
“8220”
出现时间
2017年
针对平台
Windows、Linux
传播方式
SSH暴力破解、Docker镜像和漏洞利用
利用的漏洞
Apache Log4j 2远程代码执行漏洞
Oracle WebLogic漏洞
Atlassian Confluence漏洞
Redis未授权访问漏洞
Hadoop Yarn未授权访问漏洞
Apache Struts漏洞
挖矿币种
门罗币(XMR)
4.1.2典型案例
·针对Oracle WebLogic漏洞的攻击活动分析
Water Sigbin(8220 Gang)是一个专注于部署加密货币挖矿恶意软件的威胁行为者,它积极针对Oracle WebLogic服务器。该威胁行为者利用Oracle WebLogic Server中的漏洞(特别是CVE-2017-3506和CVE-2023-21839)通过PowerShell脚本部署加密货币挖矿程序。研究人员分析了用于传递PureCrypter加载器和XMRIG加密挖掘器的多阶段加载技术。此活动期间使用的所有有效载荷均使用.Net Reactor(一种.NET代码保护软件)进行保护,以防止逆向工程。此保护会混淆代码,使防御者难以理解和复制。此外,它还采用了反调试技术。有效载荷是通过利用CVE-2017-3506来传递的[1]。
·8220挖矿团伙的新玩具:k4spreader
2024年6月17号研究人员发现了一个VT 0检测的使用c语言编写的ELF样本,这个样本使用变形的upx加壳,脱壳后得到了另一个变形的upx加壳的elf文件,使用cgo的方式编写。经过分析发现这是来自“8220”挖矿团伙的新工具,用来安装其他恶意软件执行,主要是构建Tsunami DDoS僵尸网络和安装PwnRig挖矿程序。根据样本中的函数名称将其命名为“k4spreader”,进一步分析了VT的和蜜罐的数据后,发现k4spreader尚处于开发阶段,但已经出现3个变种[2]
4.2 Outlaw
Outlaw挖矿僵尸网络最早于2018年被发现,主要针对云服务器实施挖矿攻击,持续活跃。疑似来自罗马尼亚,最早由趋势科技将其命名为Outlaw,中文译文为“亡命徒”。该挖矿僵尸网络首次被发现时,攻击者使用Perl脚本语言的后门程序构建机器人,因此被命名为“Shellbot”。其主要传播途径是SSH暴力破解攻击目标系统并写入SSH公钥,以达到长期控制目标系统的目的,同时下载基于Perl脚本语言编写的后门和开源门罗币挖矿木马。
4.2.1 组织概览
表 4‑2 Outlaw挖矿僵尸网络介绍
组织名称
Outlaw
组织介绍
一个通过漏洞利用和SSH暴力破解传播基于Perl语言编写的Shellbot而组建的僵尸网络,后期开始投放挖矿木马获利
首次披露时间
2018年11月1日
首次披露厂商
趋势科技
归属国家
疑似罗马尼亚
命名原因
源自罗马尼亚语haiduc的翻译,该组织主要使用的黑客工具Haiduc
威胁类型
僵尸网络、挖矿木马
针对目标
Linux、IoT
传播途径
Shellshock(CVE-2014-7169)漏洞、Drupalgeddon2漏洞(CVE-2018-7600)漏洞和SSH暴力破解,主要采用后者,漏洞利用只在初期使用过
组织组件
隐藏进程工具(XHide)、SSH暴力破解工具(Haiduc、ps、tsm)、Shellbot程序、挖矿木马(XMRig)
版本迭代
该僵尸网络样本共有5个版本迭代,主要区别在于功能的新增,破解工具替换,破解工具功能的变化上
4.2.2典型案例
·Outlaw挖矿僵尸网络近期活动分析
安天CERT监测到多起Outlaw挖矿僵尸网络攻击事件,该挖矿僵尸网络最早于2018年被发现,主要针对云服务器从事挖矿活动,持续活跃。安天CERT在分析近期的攻击事件中发现,该挖矿僵尸网络样本在第三版本基础上有了重要更新,其功能更加多样、隐匿性更高、清除更加困难。主要传播途径和功能依旧是SSH暴力破解攻击目标系统,植入SSH公钥,以达到长期控制目标系统的目的,同时下载执行基于Perl脚本语言编写的后门和开源门罗币挖矿木马,使用扫描和暴力破解工具对其他主机进行相应攻击[3]。
4.3 TeamTNT
TeamTNT挖矿组织最早于2019年被发现,主要针对Docker Remote API未授权访问漏洞、配置错误的Kubernetes集群和Redis服务暴力破解进行攻击。入侵成功后,窃取各类登录凭证并留下后门,主要利用目标系统资源进行挖矿并组建僵尸网络。经过近几年发展,该组织控制的僵尸网络规模庞大,所使用的攻击组件更新频繁,是目前针对Linux服务器进行挖矿的主要攻击组织之一。该组织疑似来自德国,其命名方式依据该组织最早使用teamtnt.red域名进行命名。
4.3.1组织概览
表 4‑3 TeamTNT挖矿组织介绍
组织名称
TeamTNT
首次披露时间
2019年10月
归属国家
德国
命名原因
最早使用teamtnt.red域名
威胁类型
挖矿木马、后门
针对目标
JupyterLab、Docker、Kubernetes和Redis
传播途径
错误的配置和SSH凭证等
组织武器库
Tsunami、Rathole、Ezuri、Punk.py、libprocesshider、tmate、masscan、pnscan、ZGrab、Tiny Shell、Mimipy、BotB、Diamorphine、Docker Escape Tool等
组织擅长技术
扫描局域网端口、添加防火墙规则、删除其他竞争对手进程、创建持久性计划任务、窃取服务凭证、收集机器信息、Rootkit隐藏进程、部署挖矿程序和横向移动等
推特账户
HildeGard@TeamTNT@HildeTNT
GitHub账户
hilde@TeamTNT
HildeTeamTNT
托管网站
teamtnt.red
4.3.2典型案例
·TeamTNT组织发起新一轮攻击活动
研究人员发现了TeamTNT正在策划一场新的攻击活动。在这次攻击活动中,TeamTNT似乎回归本源,准备对云环境进行大规模攻击。该组织目前以暴露的Docker守护进程为目标,部署Sliver恶意软件、网络蠕虫和加密矿工,使用受感染的服务器和Docker Hub作为传播恶意软件的基础设施。在此次活动中,TeamTNT通过将受感染的Docker实例附加到Docker Swarm并利用Docker Hub存储和分发恶意软件。他们还将受害者的计算能力出租给第三方,有效地通过加密货币挖矿间接赚钱,而无需自己管理。此外,他们还采用了新的黑客工具,用更隐蔽的Sliver恶意软件取代了传统的Tsunami后门[4]。
·地平线上的乌云:TeamTNT的复苏?
研究人员发现了TeamTNT新的活动影响基于CentOS操作系统的VPS云基础设施的明确证据。调查显示,初始访问是通过对受害者资产进行安全外壳(SSH)暴力破解实现的,在此期间威胁行为者上传了恶意脚本。恶意脚本在搜索现有矿工时会禁用安全功能、删除日志并修改系统文件。还会终止加密货币挖掘过程、删除Docker容器并更新Google服务器的DNS设置。安装Diamorphine工具包以实现隐藏和root权限,并使用自定义工具来维持持久性和控制。通过修改文件属性、创建具有root访问权限的后门用户以及删除命令历史记录来锁定系统,以隐藏其活动[5]。
4.4 H2Miner
H2Miner挖矿木马最早出现于2019年12月,爆发初期及此后一段时间该挖矿木马都是针对Linux平台,直到2020年11月后,开始利用WebLogic漏洞针对Windows平台进行入侵并植入对应挖矿程序。此外,该挖矿木马频繁利用其他常见Web组件漏洞,入侵相关服务器并植入挖矿程序。例如,2021年12月,攻击者利用Log4j漏洞实施了H2Miner挖矿木马的投放。
4.4.1组织概览
表 4‑4 H2Miner挖矿组织介绍
组织名称
H2Miner/Kinsing
出现时间
2019年12月
针对平台
Windows、Linux
传播方式
漏洞利用
利用的漏洞
Looney Tunables特权升级漏洞
Apache ActiveMQ RCE漏洞(CVE-2023-46604)
Apache Solr’s DataImportHandler (CVE-2019-0193)
Redis未授权RCE
Confluence未授权RCE(CVE-2019-3396)
WebLogic RCE漏洞(CVE-2020-14882/14883)
Log4j漏洞(CVE-2021-44228)
……
挖矿币种
门罗币(XMR)
4.4.2典型案例
·Kinsing组织将新披露的漏洞集成到漏洞利用库中并扩展其僵尸网络
Kinsing组织将新披露的漏洞集成到漏洞利用库中并扩展其僵尸网络。该组织自2019年以来积极策划非法加密货币挖矿活动。近年来,涉及基于Golang的恶意软件的活动利用了Apache ActiveMQ、Apache Log4j、Apache NiFi、Atlassian Confluence、Citrix、Liferay Portal、Linux、Openfire、Oracle WebLogic Server和SaltStack中的各种缺陷来破坏易受攻击的系统[6]。
4.5 Libgcc_a
Libgcc_a挖矿木马在Linux系统上主要以SSH暴力破解进行传播,在Windows系统上主要以RDP暴力破解进行传播。挖矿木马在感染受害主机后,还会进行横向传播进一步感染网内其他主机。利用多种防御手段进行反检测,如会采用开源rootkit工具r77-rootkit,这个工具具有ring 3隐藏功能,可以隐藏文件、目录、进程和CPU的使用情况、注册表项和值、服务、TCP和UDP连接、连接点、命名管道和计划任务等。另外攻击者使用开源门罗币挖矿程序XMRig进行挖矿,在Windows平台利用netpass工具读取本地明文RDP密码等。
4.5.1 组织概览
表 4‑5 Libgcc_a挖矿组织介绍
组织名称
libgcc_a
出现时间
2023年
针对平台
Windows、Linux
传播方式
RDP暴力破解
SSH暴力破解
利用的漏洞
无
挖矿币种
门罗币(XMR)
4.5.2 典型案例
·Libgcc_a挖矿木马分析与处置
近期,安天安全服务中心收到多个用户安全服务委托,部署在用户网内的防护设备产生了大量暴力破解攻击告警,同时用户业务系统运行卡顿。经安天安全服务中心应急响应团队取证分析,发现为感染了Libgcc_a挖矿木马,该木马为专门针对Linux系统,可通过SSH弱口令进行横向感染和控制其它主机,自身隐蔽能力强。感染后动作包括下载挖矿程序挖矿、添加系统后门、内网扫描伺机进一步传染、清除安全软件和竞争对手等,该木马功能模块化、攻击自动化均较强,在自身持久化、行为隐藏、反侦察等方面有改进,感染后传统方式不易发现[7]。
4.6 Perfctl
Perfctl是一种Linux端的恶意软件,至少在过去三年间一直在感染Linux服务器和工作站,未被广泛察觉。该恶意软件利用漏洞和错误配置入侵系统,主要目的是通过服务器的CPU资源进行门罗币挖矿。Perfctl使用rootkit技术躲避检测,利用TOR加密通信隐藏其活动。感染后,恶意软件不仅会隐藏其进程,还会在用户登录时停止挖矿,使其难以被察觉。
4.6.1 组织概览
表 4‑6 Perfctl挖矿组织介绍
组织名称
Perfctl
出现时间
2023年9月
针对平台
Linux
传播方式
暴露的Docker Remote API服务和漏洞利用
利用的漏洞
RocketMQ漏洞(CVE-2023-33246)
Polkit漏洞(CVE-2021-4034)
挖矿币种
门罗币(XMR)
4.6.2 典型案例
·Linux恶意软件“Perfctl”背后隐藏多年加密货币挖矿活动
研究人员发现,名为“Perfctl”的Linux恶意软件至少在过去三年间一直在感染Linux服务器和工作站,未被广泛察觉。该恶意软件利用漏洞和错误配置入侵系统,主要目的是通过服务器的CPU资源进行门罗币(Monero)挖矿。Perfctl使用rootkit技术躲避检测,利用TOR加密通信隐藏其活动。感染后,恶意软件不仅会隐藏其进程,还会在用户登录时停止挖矿,使其难以被察觉。据估计,数千台服务器已经受到感染[8]。
·攻击者利用暴露的Docker API部署Perfctl恶意软件
研究人员发现攻击者通过暴露的Docker远程API服务器部署Perfctl恶意软件。攻击者首先探测目标服务器,然后利用Docker API创建特权容器,执行经过Base64编码的恶意载荷。该载荷包含逃逸容器、创建恶意脚本、设置环境变量并下载伪装成PHP扩展的恶意二进制文件等步骤。此外,攻击者使用多种规避检测技术,例如检查重复进程、创建伪装目录,并通过自定义下载功能规避防护机制。为实现持久性,恶意软件创建了系统服务或计划任务[9]。
4.7 “匿铲”
“匿铲”挖矿木马从2023年11月开始出现,期间多次升级组件,目前版本为3.0。该挖矿木马攻击事件持续活跃,感染量呈上升态势。主要特点是隐蔽性强、反分析、DLL劫持后门和shellcode注入等。在发现的攻击活动中,攻击者利用了两个比较新颖的技术以对抗反病毒软件,第一个技术是滥用反病毒软件的旧版本内核驱动程序中的功能来结束反病毒软件和EDR,这个技术通过一个主体的PowerShell脚本、一个独立的PowerShell脚本和一个控制器(内存加载的小型可执行文件)来完成,主体的PowerShell脚本用于下载并安装反病毒软件的旧版本内核驱动程序,独立的PowerShell脚本用于解密并内存加载控制器,控制器用来控制内核驱动程序。虽然被滥用的旧版本内核驱动程序早已更新,但目前仍能被非法利用并有效结束大多数反病毒软件。第二个技术是利用MSDTC服务加载后门DLL,实现自启动后门,达到持久化的目的。这个技术利用了MSDTC服务中MTxOCI组件的机制,在开启MSDTC服务后,该组件会搜索oci.dll,默认情况下Windows系统不包含oci.dll。攻击者会下载后门DLL重命名为oci.dll并放在指定目录下,通过PowerShell脚本中的命令创建MSDTC服务,这样该服务会加载oci.dll后门,形成持久化操作。
4.7.1 组织概览
表 4‑7 “匿铲”挖矿组织介绍
组织名称
“匿铲”/GHOSTENGINE
出现时间
2023年11月
针对平台
Windows
传播方式
伪装合法程序
利用的漏洞
无
挖矿币种
门罗币(XMR)
4.7.2 典型案例
·“匿铲”挖矿木马活动分析
“匿铲”挖矿木马首先会从放马服务器上下载名为“get.png”的PowerShell脚本,解码后执行哈希验证、创建计划任务、禁用系统自带杀毒软件和创建服务等操作。之后会下载“kill.png”脚本和“delete.png”、“kill(1).png”两个压缩文件,脚本解码出shellcode代码,shellcode代码经过解密得到控制器(一个可执行文件)并注入到powershell.exe进程中,两个压缩文件经过解压缩得到反病毒厂商的旧版本内核驱动程序“aswArPots.sys”和“IObitUnlockers.sys”,由控制器调用,终止杀毒软件和EDR程序等。还会根据受害主机自身系统型号下载对应的“86/64.png”的压缩文件,解压缩后会得到oci.dll文件,通过MSDTC服务调用实现DLL劫持后门。在“get.png”脚本中还看到了下载“backup.png”脚本的地址,但下载函数还未实现,可能后续版本会加,该脚本主要功能是发送心跳接收命令等。最后“get.png”脚本会下载“smartsscreen.exe”程序,该程序会下载挖矿程序及其组件进行挖矿[10]。
·隐形矿工:揭秘GHOSTENGINE的加密货币挖矿行动
研究人员已发现一个入侵集,其中包含多个恶意模块,并利用易受攻击的驱动程序来禁用已知的安全解决方案(EDR)以进行加密挖掘。此外,该团队还发现了建立持久性、安装以前未记录的后门以及执行加密挖掘程序的功能。研究人员将此入侵集称为REF4578,将主要有效载荷称为GHOSTENGINE[11]。
4.8 RedTail
RedTail挖矿木马是一种利用系统漏洞进行传播并实施加密货币挖掘的恶意软件。它通过多种高危漏洞(如Palo Alto Networks防火墙漏洞、TP-Link路由器漏洞等)入侵目标系统,并植入XMRig挖矿程序的变种,挖掘门罗币。该木马具有高度隐蔽性,采用加密配置、反调试技术以及动态调整挖矿参数等方式,避免被轻易发现并确保挖矿效率。它还支持多平台架构,能够根据系统资源优化自身运行。RedTail不仅会占用大量系统资源,导致设备运行缓慢、电费增加,还可能成为攻击者进一步入侵的入口,带来严重的安全隐患。
4.8.1 组织概览
表 4‑8 RedTail挖矿组织介绍
组织名称
RedTail
出现时间
2023年12月
针对平台
IoT、Linux
传播方式
漏洞利用
利用的漏洞
PAN-OS(CVE-2024-3400)漏洞
Ivanti Connect Secure SSL-VPN(CVE-2023-46805、CVE-2024-21887)漏洞
TP-Link路由器(CVE-2023-1389)漏洞
VMWare Workspace ONE访问和身份管理器(CVE-2022-22954)漏洞
ThinkPHP远程代码执行(CVE-2018-20062)漏洞
挖矿币种
门罗币(XMR)
4.8.2 典型案例
·RedTail挖矿组织利用PAN-OS(CVE-2024-3400)漏洞展开攻击
2024年5月,研究人员披露,RedTail挖矿组织已经将Palo Alto的PAN-OS CVE-2024-3400漏洞纳入其攻击工具包。该漏洞允许攻击者通过操控SESSID cookie,利用路径遍历技术在受害系统上创建任意文件,并执行命令。此次攻击的目标包括IoT设备(如TP-Link路由器)、ThinkPHP内容管理系统、以及Ivanti Connect Secure和Palo Alto GlobalProtect等安全设备。攻击者通过多个漏洞传播恶意软件,最终目的是加密挖掘Monero(XMR)数字货币[12]。
附录一:参考资料
https://www.trendmicro.com/en_us/research/24/f/water-sigbin-xmrig.html
[2] 奇安信.8220挖矿团伙的新玩具:k4spreader[R/OL].(2024-06-25)
https://blog.xlab.qianxin.com/8220-k4spreader-new-tool-cn/
[3] 安天.Outlaw挖矿僵尸网络近期活动分析[R/OL].(2025-01-10)
https://www.antiy.cn/research/notice&report/research_report/Outlaw_Analysis.html
[4] aqua.TeamTNT’s Docker Gatling Gun Campaign[R/OL].(2024-10-25)
https://www.aquasec.com/blog/threat-alert-teamtnts-docker-gatling-gun-campaign/
[5] GROUP-IB.Storm clouds on the horizon: Resurgence of TeamTNT?[R/OL].(2024-09-18)
https://www.group-ib.com/blog/teamtnt/
[6] aqua.Kinsing Demystified[R/OL](2024-05-21)
https://1665891.fs1.hubspotusercontent-na1.net/hubfs/1665891/Threat%20reports/AquaSecurity_Kinsing_Demystified_Technical_Guide.pdf
[7] 安天.干货分享丨Libgcc_a挖矿木马分析与处置[R/OL](2024-03-13)
https://mp.weixin.qq.com/s/2UhXr3up--5cW3BrP6njxw
[8] aqua.perfctl: A Stealthy Malware Targeting Millions of Linux Servers[R/OL](2024-10-03)
https://www.aquasec.com/blog/perfctl-a-stealthy-malware-targeting-millions-of-linux-servers/
[9] TREND.Attackers Target Exposed Docker Remote API Servers With perfctl Malware[R/OL](2024-10-21)
https://www.trendmicro.com/en_hk/research/24/j/attackers-target-exposed-docker-remote-api-servers-with-perfctl-.html
[10] 安天.“匿铲”挖矿木马活动分析[R/OL](2024-05-10)
https://www.antiy.cn/research/notice&report/research_report/HideShoveling.html
[11] elastic.Invisible miners: unveiling GHOSTENGINE’s crypto mining operations[R/OL](2024-05-22)
https://www.elastic.co/security-labs/invisible-miners-unveiling-ghostengine
[12] Akamai.RedTail Cryptominer Threat Actors Adopt PAN-OS CVE-2024-3400 Exploit[R/OL](2024-05-30)
https://www.akamai.com/blog/security-research/2024-redtail-cryptominer-pan-os-cve-exploit
A massive 2.7 billion records containing sensitive user data, including Wi-Fi network names, passwords, IP addresses, and device identifiers, were exposed in a massive IoT security breach linked to Mars Hydro, a China-based grow light manufacturer, and LG-LED SOLUTIONS LIMITED, a California-registered firm. The unprotected database, discovered by cybersecurity researcher Jeremiah Fowler and reported to […]
The post Massive IoT Data Breach Exposes 2.7 Billion Records, Including Wi-Fi Passwords appeared first on Cyber Security News.
1.概览
近日,国产AI大模型DeepSeek(深度求索)线上服务受到大规模网络攻击,多次出现服务中断等情况。引发了国内安全业界的关注。根据奇安信XLab实验室监测报告,发现僵尸网络RapperBot和HailBot[1]针对DeepSeek发动了DDoS攻击。为了更有效地研判风险,支撑对相关攻击的防范,安天CERT从“赛博超脑”平台样本库中提取了上述两个僵尸网络所使用的僵尸木马样本,进行了进一步分析工作。
2.样本分析
2.1 RapperBot与HailBot的前世——Mirai
RapperBot与HailBot两个僵尸网络都是僵尸网络Mirai的源码泄露的产物。Mirai僵尸网络在2016年首次被发现,迅速引发了广泛关注。其命名源自日语中的“未来”。与传统以Windows系统肉鸡为主的僵尸网络不同,Mirai感染控制网络摄像头、家用路由器和其他物联网设备,用于构建僵尸网络体系[2]。在2016年,因其引发的“DYN事件”[3]而浮出水面,Mirai的三名作者Paras Jha,Josiah White和Dalton Norman,均为美国人。三人经营了一家名为Protraf Solutions LLC的公司,对外宣称提供DDoS攻击防护,实际上则利用僵尸网络发动DDoS攻击,进行敲诈等牟利活动。三名人员在2018年,被美国阿拉斯加法院判处5年缓刑、2500小时社区服务,赔偿12.7万美元,并需自愿放弃犯罪期间获取的加密货币。
Mirai专门针对物联网(IoT)设备实施自动化渗透植入,如路由器、网络摄像头和数字视频录像机(DVR),这些设备往往在安全运营视角之外,或者为家庭设备,普遍存在未修改默认密码或采取简易密码、固件版本陈旧等问题。通过密码破解、漏洞攻击,Mirai获取设备的访问权限,并将恶意代码上传至设备中运行,将其转变为受控的僵尸节点[4]。该僵尸网络的一个突出特点是其模块化设计和自更新能力,这使得它能够迅速适应不断变化的安全环境,并增加新的攻击手段。设备被Mirai感染后会自动执行扫描探测任务,并尝试将恶意软件传播至其他设备中,进而构建起一个个庞大的僵尸网络[5]。
2016年9月30日,Mirai僵尸网络源代码在GitHub平台公开泄露。攻击者已基于源码进行定制化改造,衍生出多个变种家族,其中包括RapperBot、HailBot,攻击者改造手段包括但不限于主控域名替换(规避安全厂商封禁)、登录认证机制伪装(仿冒合法设备流量)、通信协议字段混淆(如修改上线心跳包结构以绕过检测规则)等。由于源代码的高度可复用性,全球黑产团伙得以低成本构建“同源异构”的僵尸网络集群——这些变种虽在表层功能上呈现差异,但其核心感染逻辑、C2指令体系与攻击模块均继承自Mirai原始架构,导致其背后操控组织的关联性溯源较为困难。
2.2 RapperBot僵尸网络
RapperBot是一种基于Mirai源代码二次开发的僵尸网络,具有多种版本,可在ARM、MIPS、SPARC和x86等不同架构处理器下运行。由于其早期样本中嵌有一个指向说唱视频的链接,因此被命名为“RapperBot”。
图2‑1 RapperBot早期样本中嵌有一个指向说唱视频的链接
代码中字符串“follow me on instant gram @2tallforfood, pause it. Fuck Bosco.”翻译为“在Instgram上找到我@2tallforfood,暂停,FuckBosco”而@2tallforfood 是在Youtube频道ALL URBAN CENTRAL (城市中心)的一个歌手的账户,该账户在Youtube只有2个2021年前的视频:@2TallForFood - Diamonds Is Lit (Official Video) [6](钻石闪亮)和 @2tallforfood - I Am Da Bag (Official Video) (我是一个大包)。而Fuckbosco[7]是该歌手的另外一首歌曲的名字。该歌手为小众歌手,其的视频观看人数到报告发布时点不超过500次。
Youtube频道ALL URBAN CENTRAL (城市中心)是2014年成立的美国音乐娱乐频道,主要类型有音乐Rap和Hip HOP 以及名人新闻。订阅用户大约3百万,该频道的视频大都在6分钟以内,频道总视频被浏览次数为20亿次以上。靠订阅收取费用。在美国音乐类排名4000名左右。
图2‑2 RapperBot早期样本中嵌入链接指向的视频
2.2.1 样本标签
表2‑1 RapperBot早期版本样本标签
病毒名称
Trojan/Linux.Mirai[Backdoor]
MD5
9E331675D780AF4585857B1F95B40CBB
处理器架构
i386
文件大小
66.47 KB(68068字节)
文件格式
ELF
数字签名
无
加壳类型
无
VT首次上传时间
2022-06-17 08:10:19
VT检测结果
38/64
表2‑2 RapperBot新变种样本标签
病毒名称
Trojan/Linux.Mirai[Backdoor]
MD5
BEC7596CFB1225900673398ABB24FFA8
处理器架构
i386
文件大小
80.47 KB(82400字节)
文件格式
ELF
数字签名
无
加壳类型
无
VT首次上传时间
2024-07-02 02:21:30
VT检测结果
37/63
说明:由于安天AVL SDK反病毒引擎有较强预处理能力,能以较少高质量规则检测变形后的衍生样本,截至本文撰写时RapperBot样本检测结果均为Mirai,特此说明。
2.2.2 传播方式
2.2.2.1 SSH暴力破解
RapperBot僵尸网络家族中的一些变种通过SSH暴力破解的方式进行传播,在早期样本中,其凭据列表被硬编码在文件中,其后的新变种变更为从C2服务器中获取凭据列表。成功暴力破解SSH服务器后,RapperBot执行Shell命令替换该服务器中的~/.ssh/authorized_keys文件,从而保持对受害服务器的远程访问。
图2‑3 硬编码在文件中的部分SSH暴力破解凭据列表
2.2.2.2 Telnet默认口令探测
部分RapperBot僵尸网络变种会通过Telnet基于设备默认口令的方式进行探测,目标设备关键词、默认用户名称以及密码被硬编码在文件中。
图2‑4 硬编码在样本文件中的Telnet用户名/口令表
从相关样本尝试暴力破解的硬编码信息可知,此类RapperBot变种的目标大多为常见的网络设备和IoT物联网设备等。
表2‑3 RapperBot内置用户探测登录的服务、用户名、口令和可能的关联设备表(表格内容基于DeepSeek整理输出,并做人工修订,特此说明)
服务/模块
用户名
密码
可能关联的服务/品牌/设备类型
tc login
dnsekakf2$$
""(空)
DASAN定制网络设备
tc login
dnsekakf2$$
dnsekakf2$$
DASAN 定制网络设备
tc login
user
1234
DASAN 定制网络设备
tc login
admin
TeleCom_1234
中国电信定制设备
tc login
admin
TJ2100Npassword
Tejas Networks TJ2100N光猫或网关
tc login
admin
admin
多种主流网络设备
tc login
&unk_19130
1234
可能为部分摄像头等物联网
soc1
default
Default
多种工业产品和软件
soc1
default
password
多种工业产品和软件
TAG
default
password
疑似物联网设备
PXICPU
default
password
部分工业嵌入式控制器设备
TX25
default
password
疑似某种无线设备
PK
admin_404A03Tel
zyad5001
ZyXEL(合勤)路由器
PK
admin_404A03Tel
Centurylink
ZyXEL(合勤)路由器
PK
admin_404A03Tel
QwestM0dem
ZyXEL(合勤)路由器
PK
admin
Centurylink
ZyXEL(合勤)路由器
PK
admin
QwestM0dem
ZyXEL(合勤)路由器
PK
admin
zyad5001
ZyXEL(合勤)路由器
abloom
nobody
""(空)
Abloom品牌物联网设备
abloom
admin
Abloom
Abloom品牌物联网设备
abloom
root
Abloom
Abloom品牌物联网设备
SAP
nobody
""(空)
SAP系统测试环境或物联网设备
SAP
admin
Admin
SAP NetWeaver应用服务器
RG-
ftp
Video
网络录像机(NVR)或IP摄像头
buildroot login
default
Default
多种嵌入式Linux系统
mico
root
""(空)
嵌入式系统
2.2.3 行为分析
RapperBot早期版本支持执行的DoS攻击方式较少,包括TCP STOMP攻击以及UDP泛洪攻击等。RapperBot新变种支持接收的指令与早期样本相似,但能够支持执行更多种类的DoS攻击。
表2‑4 早期版本及新变种指令功能对比
指令码
RapperBot早期版本功能
RapperBot新变种功能
1
保持连接状态
上线包
2
停止DoS攻击并终止运行
响应包
3
执行DoS攻击
心跳包
4
停止DoS攻击
执行DoS攻击
5
无
停止DoS攻击并终止运行
6
无
关闭C2连接
当攻击者进行DoS攻击时,通过选择预先设定的序号执行对应的功能函数,从而执行具体的DoS攻击。由此可以看出,RapperBot相关样本支持接收的指令功能以发起DoS攻击为主,并且从其早期至今的发展过程中,其开发者对RapperBot的DoS攻击功能进行了逐步完善,从而支持完成大范围的DDoS攻击活动。
表2‑5 RapperBot新变种支持多种DoS攻击
攻击指令
DoS攻击类型
攻击说明介绍
0
UDP泛洪攻击
通过发送大量UDP数据包消耗受害者网络带宽。
1
UDP数据包伪造
攻击者向目标服务器发送大量伪造的UDP数据包,欺骗服务器进行响应,消耗受害者网络带宽。
2
GRE-IP泛洪攻击
通过大量封装有IP网络数据包的GRE协议数据消耗受害者网络带宽。
3
GRE-Eth泛洪攻击
通过大量封装有Eth网络数据包的GRE协议数据消耗受害者网络带宽。
4
SYN泛洪攻击
通过发送大量SYN数据包,使服务器创建具有大量处于半连接状态的请求,消耗系统内存和CPU资源。
5
ACK泛洪攻击
通过发送具有随机源端口、目的端口及数据等信息的ACK数据包消耗受害者网络带宽。
6
ACK-PSH泛洪攻击
通过带有PSH标记的ACK响应与服务器建立连接,发送大量请求消耗受害者的网络带宽。
7
TCP泛洪攻击
通过发送大量TCP数据包消耗受害者网络带宽。
8
HTTP泛洪攻击
攻击者向目标服务器发送大量的HTTP报文,消耗受害者网络带宽和服务器资源。
2.3 HailBot僵尸网络
HailBot是一种基于Mirai源代码二次开发的僵尸网络,可在ARM、x86、x64、MIPS等不同架构处理器下运行。由于其运行时向控制台输出“hail china mainland”,故命名为HailBot僵尸网络。
2.3.1 样本标签
表2‑6 HailBot早期版本样本标签
病毒名称
Trojan/Linux.Mirai[Backdoor]
MD5
C4526600A90D4E1EC581D1D905AA6593
处理器架构
x64
文件大小
68.6 KB (70,295 字节)
文件格式
BinExecute/Linux.ELF[:X64]
数字签名
无
加壳类型
无
VT首次上传时间
2024-02-23 06:43:16
VT检测结果
41/66
表2‑7 HailBot新变种样本标签
病毒名称
Trojan/Linux.Mirai[Backdoor]
MD5
2DFE4015D6269311DB6073085FD73D1B
处理器架构
ARM
文件大小
74.7 KB (76,572 字节)
文件格式
BinExecute/Linux.ELF[:ARM]
数字签名
无
加壳类型
无
VT首次上传时间
2024-09-23 18:35:26
VT检测结果
42/63
说明:由于安天AVL SDK反病毒引擎有较强预处理能力,能以较少高质量规则检测变形后的衍生样本,截至本文撰写时HailBot样本检测结果均为Mirai,特此说明。
2.3.2 行为分析
HailBot在运行时会向控制台输出“hail china mainland”,显然带有栽赃陷害的中国,掩盖自身来源的目的其表述方式也明显不符合中文语言逻辑。
图2‑5 HailBot向控制台输出特定字符串
Mirai系列僵尸程序上线时会发送上线数据包给C2服务器,Mirai 原有的上线数据包为四个字节,内容为|00 00 00 01|,HailBot将其修改为八个字节|31 73 13 93 04 83 32 01|,使C2服务器能识别其流量来自 HailBot,同时也规避了被安全扫描机制用原有上线包探测发现。
图2‑6 HailBot连接到C2时会先发送八个特定的字节
HailBot利用漏洞进行传播。其中长期使用的包括CVE-2017-17215漏洞,该漏洞存在于特定版本路由器的UPnP(通用即插即用)服务中,攻击者可以通过发送特制的HTTP请求来利用此漏洞,从而在设备上执行任意代码。
图2‑7 HailBot漏洞利用部分载荷
HailBot的早期版本具有3种TCP攻击方式和1种UDP攻击方式,最新版本则升级到5种TCP攻击方式和3种UDP攻击方式。从而让攻击者有了更多的攻击方式选择和组合的空间,带来更大的威胁。
表2‑8 旧版本HailBot指令
指令号
功能
影响
0
TCP泛洪攻击
通过创建连接发送大量500至900字节的TCP请求消耗受害者网络带宽。
1
UDP泛洪攻击
通过大量的UDP请求消耗受害者网络带宽。
2
GRE IP泛洪攻击
通过大量封装有IP网络数据包的GRE协议数据消耗受害者网络带宽。
3
SYN泛洪攻击
通过发送大量SYN数据包,使服务器创建具有大量处于半连接状态的请求,消耗系统内存和CPU资源。
表2‑9 新版本HailBot指令
指令号
功能
影响
0
TCP泛洪攻击
创建连接发送大量500至900字节的TCP请求消耗受害者网络带宽。
1
SSDP泛洪攻击
利用简单服务发现协议(SSDP)发送大量“发现消息”请求使受害者进行响应,消耗受害者内存和CPU资源。
2
GRE IP泛洪攻击
发送大量封装有IP网络数据包的GRE协议数据消耗受害者网络带宽。
3
SYN泛洪攻击
发送大量SYN数据包,使服务器创建具有大量处于半连接状态的请求,消耗系统内存和CPU资源。
4
UDP泛洪攻击(512字节)
发送大量512字节的UDP请求消耗受害者网络带宽。
5
UDP泛洪攻击(1024字节)
发送大量1024字节的UDP请求消耗受害者网络带宽。
6
TCP STOMP泛洪攻击
发送创建连接发送大量768字节数据消耗受害者网络带宽。
7
TCP ACK泛洪攻击
发送具有随机源端口、目的端口及数据等信息的ACK数据包消耗受害者网络带宽。
除此之外,HailBot也在加密方面有所变化。在早期的版本中,HailBot使用简单的异或算法对C2地址、攻击载荷等字符串进行加密,其中异或用的字节为常量并硬编码在程序中。
图2‑8 早期版本HailBot加密算法
在后续的版本中,HailBot转用chacha20流密码加密算法对字符串进行加密,增加了字符串加密的强度,减少了字符串的静态特征,使其更加难以被检测分析。
图2‑9 HailBot中chacha20轮操作代码
3.总结
综合样本分析,HailBot与RapperBot的攻击模式主要依赖其控制的海量僵尸节点(肉鸡集群),通过高频发送伪造请求数据包,持续消耗目标主机的带宽资源、TCP连接池容量及连接处理所需的CPU算力。这种攻击方式虽属于传统DDoS(分布式拒绝服务)范畴,但至今仍是互联网基础设施的核心威胁之一。其根本矛盾在于:防御方的资源天然存在上限(如计算性能、网络吞吐量),而攻击方可通过自动化扫描、恶意代码注入等手段,以近乎零边际成本持续扩张僵尸网络规模,形成攻防双方的资源不对称性。
DeepSeek在全球爆火后,其在短时间内经历用户量、API调用量及并发请求的指数级增长,导致底层基础设施始终处于高负载临界状态。在此背景下,叠加大规模DDoS攻击(如通过僵尸网络发起海量文本生成请求),直接引发服务响应延迟激增、API限流熔断甚至集群过载宕机,严重影响了用户体验与业务连续性。
对互联网资源服务提供者来说,防范DDoS攻击的方法是相对成熟的,需要将资源投入和常态化的安全运营深入结合,需要服务方、基础设施提供者和监管机构进行多方配合协同。即包括部署更具弹性的分布式、多区域、多链路的服务架构、使用负载均衡器设备和策略、增强带宽和硬件设施,提升系统吞吐能力等;也包括完善安全监测、流量清洗、进行相关安全策略动态调整等。
对政企机构的安全运营来说,要加强防护,避免设备成为僵尸网络的肉鸡,也同时为遏制僵尸网络扩散做出了贡献。及时发现处置感染节点是非常重要的工作,从本文分析来看,终端和IoT设备的基础安全治理是关键,包括默认密码的修改、管控网络设备和IoT设备管理端口的访问策略、及时进行固件补丁升级等,而端云侧需要部署具有有效防护能力的杀毒、EDR、CWPP等安全产品,构建系统的安全基石。
对监管机构来说,DDoS治理涉及大量的资源联动,特别是国际治理协同,其治理难度会进一步增加。需要完善更强有力的国家安全和公共安全层面的技术资源和体系能力。
在改善基础防护、安全治理工作的同时,我们需要进一步关注研究新技术的风险演化。新技术的发展始终与安全威胁的动态演化有三种绑定方式:带来新威胁、推动传统威胁升级、自身成为攻击目标。生成式人工智能和大模型技术也不例外,其推动了传统攻击技术的自动化水平提升、带来了深度伪造等攻击技术的迅速成熟、自身也成为高价值目标。
人工智能服务场景与传统Web服务(如CGI动态页面或搜索引擎)相比,生成式AI的单次交互算力消耗显著更高,且开放的API接口极易被攻击者滥用为算力资源黑洞。大模型平台的业务特性与风险场景呈现显著特殊性,从而让我们需要进一步警惕算力资源攻击风险。为支撑高并发推理请求与长上下文交互,平台需部署大规模GPU集群及实时调度系统。攻击者可针对此类算力密集型、低延迟敏感的特性,设计低流量高杀伤力的精准攻击链,例如:恶意构造模型参数查询(如触发高维张量计算),单次请求即可消耗数倍于常规任务的GPU资源;上下文注入攻击,通过植入特定提示词(prompt)迫使模型执行递归解析,引发CPU/内存资源枯竭。此类攻击的成本效益比远超传统DDoS(无需海量僵尸节点即可瘫痪服务),且更易绕过基于流量阈值的防护策略。
与此同时,我们还需要进一步关注大数据平台的数据安全风险:由于大模型训练与推理过程中涉及的多租户数据交织存储、微调参数残留等问题,可能引发敏感信息泄露(如用户隐私数据通过模型输出侧信道泄露)。在数据标柱的过程中,夹带恶意代码的文件未经清洗,可能引发标注工程师工作环境和数据平台的病毒感染传播、系统性能损耗、乃至数据被勒索失窃等风险。需要考虑加强待标注语料文件数据的病毒清洗、增强东西向的细粒度隔离控制能力和安全检测防护能力,进而增强大模型平台的威胁对抗能力。
因此,大模型平台的安全建设需实现双轨并进:一方面完善基础架构安全:在云主机、容器集群、API等层面强化防御、监测、资源隔离等机制,即有效防御渗透入侵风险,也辅以弹性扩缩容及实时熔断机制,抵御资源耗尽型攻击;另一方面需要从架构、设计、业务逻辑和编码优化层面改善安全能力,包括但不限于:通过提示词注入检测、推理过程沙箱化、数据血缘追踪等技术,在模型交互层构建纵深防御体系。将安全能力深度嵌入技术架构与业务流之中。
而历史证明,应对新技术风险的安全增益,往往来自新技术本身,从历史上看,互联网全面提升了攻击可达性成为大规模攻击事件的温床;但也同样提升了安全运营的敏捷性。云计算平台引入了整体倾覆式风险,但也带来了更大的资源弹性和统一高效的安全治理。人工智能技术也在快速改变着网络安全能力和样貌。安天自身也是网络安全业内积极拥抱大模型技术的实践者,我们的澜砥威胁分析垂直大模型[8],聚焦二进制样本分析特征工程场景,突破了token上下文限制,并已经能够在CPU场景下运行。安天计算机病毒分类百科,也是我们借助自身特征工程和知识体系的自动化运营结果。在我们所不擅长的领域,我们同时采取了积极拥抱优秀国产大模型的策略,本报告的编写我们就使用了DeepSeek作为辅助。
从《黑神话:悟空》上线,到DeepSeek 爆火,中国的信息技术正在不断缔造新的传奇。与此同时,也伴随着网络攻击接踵而至。而战胜这些风险,正是验证了新生事物的不可战胜和远大前途。安天作为长期为网信产业体系提供共性安全能力的民企国家队,愿意为战略新兴产业提供更多的共性安全基因,为伟大的新生事物护航。
4.IOC
MD5
71B4C3FE502E6C6D5EF5E420D52D2729
C4526600A90D4E1EC581D1D905AA6593
6C6D1CCCE5946F0AA68F9E0C438C1E21
B1E0B2C046D4CB7F0A0DD87054A17AC4
6B8A9D6335D056E20DCD794B265074E3
AB2C4A13D1FE946003FFCB7DDEC064D0
9E331675D780AF4585857B1F95B40CBB
EFA786F2B6F0F267F717145FAF48A95B
EF9EBF4D5A1A44D0DB92DE06D3DCE7A1
BEC7596CFB1225900673398ABB24FFA8
参考链接
[1]奇安信.僵尸网络进场,针对DeepSeek 网络攻击再升级[R/OL].(2025-01-30)
https://mp.weixin.qq.com/s/NM-zCyA4m5WJeAjPwUmYYg
[2]ANTONAKAKIS M, APRIL T, BAILEY M, 等. Understanding the Mirai Botnet[R/OL]. (2017-08-16)
https://www.usenix.org/conference/usenixsecurity17/technical-sessions/presentation/antonakakis
[3]维基百科. DDoS attacks on Dyn[R/OL] .(2016)
https://en.wikipedia.org/wiki/DDoS_attacks_on_Dyn
[4]安天. 计算机病毒百科Mirai对应词条[R/OL] .(2016)
https://www.virusview.net/malware/Trojan/Linux/Mirai
[5]安天. 安天追影小组分析Mirai变种新传播方式[R/OL].(2016-12-19)
https://www.antiy.cn/research/notice&report/research_report/608.html
[6]Diamonds Is Lit (Official Video)
https://www.youtube.com/watch?v=fPu9hTClNWQ
[7]Fuckbosco
https://soundcloud.com/xxdannyflandersxx/fuckbosco2-a-danny-flanders-special-release
[8]安天. 2024年人工智能技术赋能网络安全应用测试:安天垂直大模型在恶意软件检测场景初露锋芒[R/OL].(2024-09-23)