Una nueva botnet, llamado EwDoor, fue detectado en la naturaleza mientras realizar ataques DDoS. Los ataques tenían como objetivo un defecto de 4 años sin parche (CVE-2017-6079) en dispositivos EgdgeMarc de Ribbon Communications que pertenecen a proveedores de telecomunicaciones AT&T. EwDoor se detectó por primera vez en Ocboter 27 por los investigadores de Netlab de Qihoo 360.
Botnet de EwDoor se dirige a CVE-2017-6079
De acuerdo con el informe, en octubre 27, 2021, Los sistemas de Qihoo identificaron "un atacante que atacaba a Edgewater Networks’ dispositivos a través de CVE-2017-6079 con un comando de sistema de archivos de montaje relativamente único en su carga útil, que tuvo nuestra atención, y después del análisis, confirmamos que se trataba de una nueva botnet, y en función de su orientación a los productores de Edgewater y su función Backdoor, lo llamamos EwDoor ".
EwDoor ha pasado 3 versiones de actualizaciones. Sus principales funciones se pueden agrupar en 2 categorías - DDoS y puerta trasera. Parece que el objetivo principal de la botnet es DDoS, así como recopilar información confidencial, incluidos registros de llamadas.
Actualmente, el malware admite las siguientes funciones:
- Capaz de actualizarse automáticamente;
- Capaz de escanear puertos;
- Gestión de archivos;
- Realización de un ataque DDoS;
- CONCHA inversa
- Ejecución de comandos arbitrarios.
Los investigadores también descubrieron que las muestras de EwDoor se almacenan en forma de gzip en el servidor de descarga., que puede ayudar a evadir la detección de seguridad de archivos binarios. "Los autores de versiones anteriores convirtieron los archivos de muestra en Linux rev 1.0 ext2 archivos del sistema de archivos y luego usó mount para montar los archivos en el sistema, que probablemente sea otro truco para protegerse,”Según el informe.
Además, EwDoor emplea enlaces dinámicos. A pesar de adoptar algunas técnicas anti-reversa, todavía es posible aplicar ingeniería inversa.
¿Cómo funciona EwDoor en un dispositivo infectado?? Cuando se ejecuta en el dispositivo comprometido, su primera misión es recopilar información. Luego procede a lograr la persistencia y otras funciones.. Finalmente, reporta la información recopilada del dispositivo al servidor de comando y control y ejecuta los comandos emitidos por él.
Puede obtener una completa descripción técnica de la botnet del informe original.
En septiembre 2021, una botnet de un nuevo tipo fue detectado en la naturaleza. Llamado Meris, el malware recuerda a Mirai, a pesar de que la relación no se pudo confirmar definitivamente.