Hjem > Cyber ​​Nyheder > Yowai Botnet, Variant af Mirai, Udnytter Kendt ThinkPHP Vulnerability
CYBER NEWS

Yowai botnet, Variant af Mirai, Udnytter Kendt ThinkPHP Vulnerability

En kendt sårbarhed døbt ThinkPHP, som blev afsløret og fastsat i december sidste år, er blevet udnyttet til botnet formering af en ny Mirai-variant, Yowai, en variant af Gafgyt kendt som Hakai. Opdagelsen kommer fra Trend Micro, og Mirai botnet variation er blevet detekteret som BACKDOOR.LINUX.YOWAI.A.




Tilsyneladende, hackere bruger hjemmesider oprettet med PHP ramme at bryde webservere via ordbog angreb på standard legitimationsoplysninger. Dette hjælper dem med at få kontrol over de berørte routere i DDoS-angreb. Trend Micro’s telemetry indicates that the two botnets, Yowai og Hakai, triggered an unexpected increase in attacks and infection attempts in the period between January 11 og januar 17.

Technical Overview of the Yowai Botnet

The Yowai botnet appears to have a configuration table which is similar to other Mirai variants. This means that the table can be decrypted using the same procedures. The ThinkPHP vulnerability is chained with other known flaws.

Yowai listens on port 6 to receive commands from the command and control (C&C) server. After it infects a router, det bruger ordbog angreb i et forsøg på at inficere andre enheder. Den ramte router bliver nu en del af et botnet, der gør det muligt for operatøren at bruge de berørte enheder for at iværksætte DDoS-angreb, Trend Micro sagde i deres rapport.

Desuden, flere bedrifter er indsat til at udføre de ordbogsangreb. En meddelelse på brugerens konsol vises efter angrebet. Den botnet refererer også en kill liste over konkurrerende botnet og den sigter mod at udrydde dem fra målrettede systemet. Som allerede nævnt, the ThinkPHP vulnerability is not the only one used in these attacks. The sample the researchers analyzed exploited the following flaws: CVE-2014-8361, a Linksys RCE, CVE-2018-10561, CCTV-DVR RCE.

Relaterede: [wplinkpreview url =”https://sensorstechforum.com/bcmupnp_hunter-botnet-iot/”]Bcmupnp_Hunter Botnet sæt mod IoT Devices: 100.000 Allerede er inficeret

Technical Overview of the Hakai Botnet

Hakai, the Gafgyt variant, has been previously detected to rely on router vulnerabilities in attacks targeting IoT devices. The sample analyzed by TrendMicro is using security flaws that are likely unpatched, and it also utilized vulnerabilities in ThinkPHP, D-Link DSL-2750B router vuln, CVE-2015-2051, CVE-2014-8361, and CVE-2017-17215 to propagate and perform various DDoS attacks.

It is noteworthy that the Hakai sample contained codes copied from Mirai, such as the code for encrypting the configuration table.

Men, the functions we’ve identified are not operational, we suspect that the codes for telnet dictionary attack were intentionally removed to make this Hakai variant stealthier.

Since Mirai variants typically kill competing botnets, it may be advantageous for this Hakai variant to avoid targeting IoT devices that use default credentials. The approach of solely using exploits for propagation is harder to detect compared to telnet bruteforcing, which likely explains the spike we observed in attack attempts from our detection and blocking technology, rapporten bemærkede.

Milena Dimitrova

Milena Dimitrova

En inspireret forfatter og indholdschef, der har været hos SensorsTechForum siden projektets start. En professionel med 10+ års erfaring med at skabe engagerende indhold. Fokuseret på brugernes privatliv og malware udvikling, hun tror stærkt på en verden, hvor cybersikkerhed spiller en central rolle. Hvis almindelig sund fornuft giver ingen mening, hun vil være der til at tage noter. Disse noter senere kan blive til artikler! Følg Milena @Milenyim

Flere indlæg

Følg mig:
Twitter

2 Kommentarer
  1. AvatarJesik

    Hej,
    Hope your are doing great.

    I am interested in your website
    for a blog/guest post.
    Can you please provide me the following details.
    Price for blog/guest post.?
    gambling/non gambling.?
    will you write the article.?
    will the post shows on home page..??

    let me know,
    Takke

    Svar
    1. Milena DimitrovaMilena Dimitrova (Indlæg forfatter)

      Hej,
      sensorstechforum.com/category/guest-blogging/

      Svar

Efterlad en kommentar

Din e-mail-adresse vil ikke blive offentliggjort. Krævede felter er markeret *

Del på Facebook Del
Loading ...
Del på Twitter Tweet
Loading ...
Del på Google Plus Del
Loading ...
Del på Linkedin Del
Loading ...
Del på Digg Del
Del på Reddit Del
Loading ...
Del på Stumbleupon Del
Loading ...