本次抓取的Fbot看起来是以 HiSilicon DVR/NVR Soc 的设备为目标，我们已经看到有24528个设备IP被感染。但需要警惕的是，考虑到物联网行业具有复杂的产业链，实际问题可能是在它的下游引入的，我们这里之所以列出 HiSilicon DVR/NVR Soc [...]

Smoke Loader is a botnet software that is publicly available since 2011 on the black market. It is old but still active, just in the last six months we [...]

Smoke Loader 是一个在黑市上公开销售的僵尸网络软件。其活动时间可以追溯到2011年，虽然近年来已经被多次曝光，但保持持续升级，非常活跃。在我们统计中，仅最近半年活跃的样本就超过 1,500 个。

DDG.Mining.Botnet（以下简称DDG）是我们首先感知并披露的挖矿僵尸网络。我们上一篇相关报告发布于 2018.11 月份，针对当时最新的版本 v3014 。最近，DDG 开始了频繁的更新：从 2019.1.3~2019.1.18 的半个月时间内，发布了 v3015~v3019 共 5 [...]

DDG is a mining botnet we discovered in Oct 2017 has been covered by us multiple times with some of its’ major updates.

2018.12.23 日，我们的 DNSMon 系统监测到以下三个异常的域名，经过研判这些域名属于 双枪 木马的网络基础设施。考虑到这些域名仅在最近才注册并启用，我们认为双枪木马近期在更新其基础设施，建议安全社区加以关注。

DDG 是一个专注于扫描控制 SSH 、 Redis数据库 和 OrientDB数据库 服务器，并攫取服务器算力挖矿（门罗币）的僵尸网络。我们在2017年10月25日首次感知到 DDG僵尸网络，并在随后发布了报告和报告。最近的一篇 报告 发布于 2018-08，当时 DDG 的版本更新到 3013。

本文由 Hui Wang、RootKiter共同撰写360Netlab在2018年9月注意到一个新的僵尸网络。该僵尸网络的感染数量特别巨大，每个扫描波次中活跃的IP地址为10万左右，值得引起安全社区的警惕。

从2018年9月20号开始，360Netlab Anglerfish蜜罐系统监测到互联网上有大量IP正在针对性地扫描路由器系统。攻击者尝试对路由器Web认证页面进行口令猜解或者通过dnscfg.cgi漏洞利用绕过身份认证，然后通过相应DNS配置接口篡改路由器默认DNS地址为Rogue DNS Server[1] 。

note:We have informed various ISPs on the IoC list, and OVH, ORACLE have taken down the related IPs and some others are working on it (Thanks!)

Since 2018-09-13 11:30 UTC, a new botnet (we call it Fbot) popped up in our radar which really caught our attention.

从2018-09-13 11:30 UTC开始，我们首次注意到一个新的蠕虫正在清理 com.ufo.miner。在完成了清理动作后，该蠕虫会等待来自C2（musl.lib，66.42.57.45:7000， [...]

These days, it feels like new mining malwares are popping up almost daily and we have pretty much stopped blogging the regular ones so we don’t flood our [...]

"链治百病，药不能停"。时下各种挖矿软件如雨后春笋层出不穷，想把他们都灭了，那是不可能的，这辈子都不可能的。通常我们都忽略他们。但这个利用ngrok生成大量随机域名作为Downloader和Report域名，对抗安全设施阻断其域名，隐藏真实服务器地址的挖矿恶意样本成功的引起了我们的注意。

DDG is a mining botnet mainly focusing on SSH, Redis databases and OrientDB database servers. We captured the first DDG botnet on October 25, 2017, and [...]

DDG 是一个专注于扫描控制 SSH 、 Redis数据库 和 OrientDB数据库 服务器，并攫取服务器算力挖矿（门罗币）的僵尸网络。我们在2017年10月25日首次感知到 DDG僵尸网络，并在随后发布了多份报告。最近的一篇 报告 发布于 2018-06，当时 DDG 的版本更新到 3012。

Author: Zhang Zaifeng, yegenshen, RootKiter, JiaYuOn July 18, in an officially released routine patch update, Oracle fixed CVE-2018-2893, an Oracle [...]

文章作者：Zhang Zaifeng, yegenshen, RootKiter, JiaYu7月18日，Oracle在官方发布的例行补丁更新中修复了CVE-2018-2893，一个Oracle WebLogic Server 远程代码执行漏洞。一般认为漏洞影响严重且相关PoC已经公开，建议相关用户尽快进行评估升级。

Author: Rootkiter, yegenshenHNS is an IoT botnet (Hide and Seek) originally discovered by BitDefender in January this year. In that report, the researchers [...]

作者：Rootkiter, yegenshenHNS 僵尸网络（Hide and Seek） 是最初由 BitDefender 于今年 1月 报告 的一个IoT僵尸网络。在那份报告中研究人员指出，HNS [...]

友商发布了一个威胁分析 报告，我们阐述一下从我们的角度看到的情况。核心样本是个 Linux Shell 文件，后续动作均由该样本完成，包括：

Two days ago, on 2018-06-14, we noticed that an updated Satori botnet began to perform network wide scan looking for uc-httpd 1.0.0 devices. Most likely [...]

两天前，2018-06-14，我们注意到 Satori 的作者开始扫描收集 uc-httpd 1.0.0 设备的IP地址列表。这或许是为了针对4月公开的脆弱性 XiongMai uc-httpd 1.0.0 (CVE-2018-10088) 在做准备。这些扫描活动导致了近期在 80 和 8000 端口上的扫描流量大涨。

DDG is a mining botnet that specializes in exploiting SSH, Redis database and OrientDB database servers. We first caught it on October 25, 2017, at that [...]

DDG 是一个专注于扫描控制 SSH 、 Redis数据库 和 OrientDB数据库 服务器，并攫取服务器算力挖矿（门罗币）的僵尸网络。我们在2017年10月25日首次感知到 [...]

This article was co-authored by Hui Wang, Rootkiter and Yegenshen.It looks like this GPON party will never end. We just found TheMoon botnet has join the party.

UPDATE(2018.6.13)6.12 日，我们监测到 DDG.Mining.Botnet 又发布了新版本，最新版本为 v3012 ，更新概要如下：

This article was co-authored by Hui Wang, LIU Ya, Rootkiter and Yegenshen.In our previous articles I and II of this series, we mentioned that since the [...]

本文由 Hui Wang、LIU Ya、RootKiter、yegenshen 共同撰写。[更新 2018-05-21 17：30]我们在之前的系列文章 一 和 二 [...]

This article was co-authored by Rootkiter, Yegenshen, and Hui Wang.In our previous article, we mentioned since this GPON Vulnerability (CVE-2018-10561, [...]

本篇文章由 Rootkiter，yegenshen，Hui Wang 共同撰写。我们在之前的 文章 里提及，在本次GPON漏洞（CVE-2018-10561，CVE-2018-10562）公布以来，10天内已经有至少5个僵尸网络家族在积极利用该漏洞构建其僵尸军团，包括 [...]

自从本次GPON漏洞公布以来，10天内已经有至少5个僵尸网络家族在积极利用该漏洞构建其僵尸军团，包括 mettle、muhstik、mirai、hajime、satori。时间之短、参与者之多，在以往IoT僵尸网络发展中并不多见。

On May 1st, VPN Mentor disclosed two vulnerabilities against GPON home router. Since then, at least 5 botnet families have been actively exploiting the [...]