En kendt sårbarhed døbt ThinkPHP, som blev afsløret og fastsat i december sidste år, er blevet udnyttet til botnet formering af en ny Mirai-variant, Yowai, en variant af Gafgyt kendt som Hakai. Opdagelsen kommer fra Trend Micro, og Mirai botnet variation er blevet detekteret som BACKDOOR.LINUX.YOWAI.A.
Tilsyneladende, hackere bruger hjemmesider oprettet med PHP ramme at bryde webservere via ordbog angreb på standard legitimationsoplysninger. Dette hjælper dem med at få kontrol over de berørte routere i DDoS-angreb. Trend Micros telemetri angiver, at de to botnet, Yowai og Hakai, udløste en uventet stigning i angreb og infektionsforsøg i perioden mellem januar 11 og januar 17.
Teknisk oversigt over Yowai Botnet
Yowai -botnet ser ud til at have en konfigurationstabel, der ligner andre Mirai -varianter. Det betyder, at tabellen kan dekrypteres ved hjælp af de samme procedurer. ThinkPHP -sårbarheden er lænket med andre kendte fejl.
Yowai lytter på havn 6 at modtage kommandoer fra kommandoen og kontrollen (C&C) server. Efter det inficerer en router, det bruger ordbog angreb i et forsøg på at inficere andre enheder. Den ramte router bliver nu en del af et botnet, der gør det muligt for operatøren at bruge de berørte enheder for at iværksætte DDoS-angreb, Trend Micro sagde i deres rapport.
Desuden, flere bedrifter er indsat til at udføre de ordbogsangreb. En meddelelse på brugerens konsol vises efter angrebet. Den botnet refererer også en kill liste over konkurrerende botnet og den sigter mod at udrydde dem fra målrettede systemet. Som allerede nævnt, ThinkPHP -sårbarheden er ikke den eneste, der bruges i disse angreb. Prøven, forskerne analyserede, udnyttede følgende fejl: CVE-2014-8361, en Linksys RCE, CVE-2018-10561, CCTV-DVR RCE.
Teknisk oversigt over Hakai Botnet
Hakai, Gafgyt -varianten, er tidligere blevet opdaget at stole på routers sårbarheder i angreb rettet mod IoT -enheder. Prøven analyseret af TrendMicro bruger sikkerhedsfejl, der sandsynligvis ikke er opdateret, og det udnyttede også sårbarheder i ThinkPHP, D-Link DSL-2750B router vuln, CVE-2015-2051, CVE-2014-8361, og CVE-2017-17215 til at udbrede og udføre forskellige DDoS-angreb.
Det er bemærkelsesværdigt, at Hakai -prøven indeholdt koder, der er kopieret fra Mirai, f.eks. koden til kryptering af konfigurationstabellen.
Men, de funktioner, vi har identificeret, er ikke operationelle, vi formoder, at koderne til telnet -ordbogsangreb med vilje blev fjernet for at gøre denne Hakai -variant stealthier.
Da Mirai -varianter typisk dræber konkurrerende botnet, det kan være en fordel for denne Hakai -variant at undgå at målrette mod IoT -enheder, der bruger standardoplysninger. Metoden til udelukkende at bruge bedrifter til udbredelse er sværere at opdage i forhold til telnet -bruteforcing, hvilket sandsynligvis forklarer den stigning, vi observerede i angrebsforsøg fra vores detekterings- og blokeringsteknologi, rapporten bemærkede.
Milena Dimitrova
En inspireret forfatter og indholdschef, der har været hos SensorsTechForum siden projektets start. En professionel med 10+ års erfaring med at skabe engagerende indhold. Fokuseret på brugernes privatliv og malware udvikling, hun tror stærkt på en verden, hvor cybersikkerhed spiller en central rolle. Hvis almindelig sund fornuft giver ingen mening, hun vil være der til at tage noter. Disse noter senere kan blive til artikler! Følg Milena @Milenyim
Følg mig:
Hej,
Håber du har det godt.
Jeg er interesseret i dit websted
til en blog/gæstepost.
Kan du venligst give mig følgende detaljer.
Pris for blog/gæstepost.?
spil/ikke spil.?
vil du skrive artiklen.?
vil indlægget blive vist på startsiden ..??
Lad mig vide,
Takke
Hej,
sensorstechforum.com/category/guest-blogging/