Ein neues Botnetz, namens EwDoor, wurde in freier Wildbahn entdeckt, während Durchführen von DDoS-Attacken. Die Angriffe zielten auf einen nicht gepatchten, 4-jährigen Fehler ab (CVE-2017-6079) in Ribbon Communications-EgdgeMarc-Appliances, die den Telekommunikationsanbietern AT . gehören&T. EwDoor wurde erstmals auf Octboter entdeckt 27 von den Netlab-Forschern von Qihoo 360.
EwDoor Botnet-Ziele CVE-2017-6079
Nach dem Bericht, im Oktober 27, 2021, Die Systeme von Qihoo identifizierten „einen Angreifer, der Edgewater Networks angreift“’ Geräte über CVE-2017-6079 mit einem relativ einzigartigen Mount-Dateisystembefehl in seiner Nutzlast, was unsere Aufmerksamkeit hatte, und nach Analyse, Wir haben bestätigt, dass es sich um ein brandneues Botnet handelt, und basierend auf seiner Ausrichtung auf Edgewater-Produzenten und seiner Backdoor-Funktion, wir haben es EwDoor genannt.“
EwDoor ist durch 3 Versionen von Updates. Seine Hauptfunktionen können gruppiert werden in 2 Kategorien – DDoS und Backdoor. Es scheint, dass der Hauptzweck des Botnetzes DDoS ist, sowie das Sammeln sensibler Informationen, einschließlich Anrufprotokolle.
Zur Zeit, die Malware unterstützt folgende Funktionen:
- Kann sich selbst aktualisieren;
- Port-Scanning möglich;
- Dokumentenverwaltung;
- Durchführung eines DDoS-Angriffs;
- Umgekehrte SHELL
- Ausführung beliebiger Befehle.
Die Forscher fanden auch heraus, dass EwDoor-Samples in Form von gzip auf dem Download-Server gespeichert sind, was helfen kann, die Sicherheitserkennung für Binärdateien zu umgehen. „Die Autoren früherer Versionen haben die Beispieldateien zu Linux rev gemacht 1.0 ext2-Dateisystemdateien und dann mount verwendet, um die Dateien auf dem System zu mounten, was wahrscheinlich ein weiterer Trick ist, um sich zu schützen,“So der Bericht.
Weiter, EwDoor verwendet dynamische Verlinkung. Trotz einiger Anti-Reverse-Techniken, es ist immer noch möglich, es zurückzuentwickeln.
Wie funktioniert EwDoor auf einem infizierten Gerät? Wenn es auf dem kompromittierten Gerät ausgeführt wird, Seine erste Mission ist es, Informationen zu sammeln. Dann geht es weiter mit dem Erreichen von Persistenz und anderen Funktionen. Schließlich, es meldet die gesammelten Geräteinformationen an den Command-and-Control-Server und führt die von ihm ausgegebenen Befehle aus.
Sie können eine vollständige technischer Überblick über das Botnet aus dem Originalbericht.
Im September 2021, ein Botnet der neuen Art wurde in freier Wildbahn nachgewiesen. Genannt Meris, die Malware erinnert an Mirai, auch wenn der Zusammenhang nicht eindeutig bestätigt werden konnte.