Et nyt botnet, kaldet EwDoor, blev opdaget i naturen mens udføre DDoS-angreb. Angrebene var rettet mod en ulappet 4-årig fejl (CVE-2017-6079) i Ribbon Communications EgdgeMarc-apparater, der tilhører teleudbyderne AT&T. EwDoor blev først opdaget på Ocboter 27 af Qihoo 360s Netlab-forskere.
EwDoor Botnet-mål CVE-2017-6079
Ifølge rapporten, i oktober 27, 2021, Qihoos systemer identificerede "en angriber, der angreb Edgewater Networks’ enheder via CVE-2017-6079 med en relativt unik mount filsystem kommando i sin nyttelast, som havde vores opmærksomhed, og efter analyse, vi bekræftede, at dette var et helt nyt botnet, og baseret på dets målretning mod Edgewater-producenter og dens Backdoor-funktion, vi kaldte den EwDoor."
EwDoor har været igennem 3 versioner af opdateringer. Dens hovedfunktioner kan grupperes i 2 kategorier – DDoS og bagdør. Det lader til, at hovedformålet med botnettet er DDoS, samt indsamling af følsomme oplysninger, herunder opkaldslogger.
I øjeblikket, malwaren understøtter følgende funktioner:
- I stand til selv at opdatere;
- Kan portscanning;
- Filhåndtering;
- Udfører DDoS-angreb;
- Omvendt SKAL
- Udførelse af vilkårlige kommandoer.
Forskerne opdagede også, at EwDoor-prøver gemmes i form af gzip på downloadserveren, som kan hjælpe med at undgå sikkerhedsdetektion for binære filer. "Forfatterne af tidligere versioner lavede prøvefilerne til Linux rev 1.0 ext2 filsystemfiler og derefter brugt mount til at montere filerne på systemet, hvilket nok er endnu et trick til at beskytte sig selv,”Hedder det i rapporten.
Endvidere, EwDoor anvender dynamiske links. På trods af at have vedtaget nogle anti-omvendte teknikker, det er stadig muligt at reverse-engine det.
Hvordan virker EwDoor på en inficeret enhed? Når den kører på den kompromitterede enhed, dens første mission er at indsamle information. Derefter fortsætter det med at opnå persistens og andre funktioner. Endelig, den rapporterer den indsamlede enhedsinformation til kommando-og-kontrol-serveren og udfører de kommandoer, der udstedes af den.
Du kan få en fuld teknisk overblik over botnettet fra den oprindelige rapport.
I september 2021, et botnet af en ny slags blev opdaget i naturen. kaldet Meris, malwaren minder om Mirai, selvom forholdet ikke kunne bekræftes med sikkerhed.
Milena Dimitrova
En inspireret forfatter og indholdschef, der har været hos SensorsTechForum siden projektets start. En professionel med 10+ års erfaring med at skabe engagerende indhold. Fokuseret på brugernes privatliv og malware udvikling, hun tror stærkt på en verden, hvor cybersikkerhed spiller en central rolle. Hvis almindelig sund fornuft giver ingen mening, hun vil være der til at tage noter. Disse noter senere kan blive til artikler! Følg Milena @Milenyim
Følg mig: