Casa > Ciber Noticias > EwDoor Botnet aprovecha CVE-2017-6079 para realizar ataques DDoS
CYBER NOTICIAS

EwDoor Botnet aprovecha CVE-2017-6079 para realizar ataques DDoS

EwDoor Botnet aprovecha CVE-2017-6079 para realizar ataques DDoS
Una nueva botnet, llamado EwDoor, fue detectado en la naturaleza mientras realizar ataques DDoS. Los ataques tenían como objetivo un defecto de 4 años sin parche (CVE-2017-6079) en dispositivos EgdgeMarc de Ribbon Communications que pertenecen a proveedores de telecomunicaciones AT&T. EwDoor se detectó por primera vez en Ocboter 27 por los investigadores de Netlab de Qihoo 360.



Botnet de EwDoor se dirige a CVE-2017-6079

De acuerdo con el informe, en octubre 27, 2021, Los sistemas de Qihoo identificaron "un atacante que atacaba a Edgewater Networks’ dispositivos a través de CVE-2017-6079 con un comando de sistema de archivos de montaje relativamente único en su carga útil, que tuvo nuestra atención, y después del análisis, confirmamos que se trataba de una nueva botnet, y en función de su orientación a los productores de Edgewater y su función Backdoor, lo llamamos EwDoor ".

EwDoor ha pasado 3 versiones de actualizaciones. Sus principales funciones se pueden agrupar en 2 categorías - DDoS y puerta trasera. Parece que el objetivo principal de la botnet es DDoS, así como recopilar información confidencial, incluidos registros de llamadas.

Actualmente, el malware admite las siguientes funciones:

  • Capaz de actualizarse automáticamente;
  • Capaz de escanear puertos;
  • Gestión de archivos;
  • Realización de un ataque DDoS;
  • CONCHA inversa
  • Ejecución de comandos arbitrarios.

Los investigadores también descubrieron que las muestras de EwDoor se almacenan en forma de gzip en el servidor de descarga., que puede ayudar a evadir la detección de seguridad de archivos binarios. "Los autores de versiones anteriores convirtieron los archivos de muestra en Linux rev 1.0 ext2 archivos del sistema de archivos y luego usó mount para montar los archivos en el sistema, que probablemente sea otro truco para protegerse,”Según el informe.

Además, EwDoor emplea enlaces dinámicos. A pesar de adoptar algunas técnicas anti-reversa, todavía es posible aplicar ingeniería inversa.

¿Cómo funciona EwDoor en un dispositivo infectado?? Cuando se ejecuta en el dispositivo comprometido, su primera misión es recopilar información. Luego procede a lograr la persistencia y otras funciones.. Finalmente, reporta la información recopilada del dispositivo al servidor de comando y control y ejecuta los comandos emitidos por él.

Puede obtener una completa descripción técnica de la botnet del informe original.

En septiembre 2021, una botnet de un nuevo tipo fue detectado en la naturaleza. Llamado Meris, el malware recuerda a Mirai, a pesar de que la relación no se pudo confirmar definitivamente.

Milena Dimitrova

Un escritor inspirado y administrador de contenido que ha estado con SensorsTechForum desde que comenzó el proyecto.. Un profesional con 10+ años de experiencia en la creación de contenido atractivo. Centrado en la privacidad de los usuarios y el desarrollo de malware, ella cree firmemente en un mundo donde la seguridad cibernética juega un papel central. Si el sentido común no tiene sentido, ella estará allí para tomar notas. Esas notas pueden convertirse más tarde en artículos! Siga Milena @Milenyim

Más Mensajes

Sígueme:
Gorjeo

Dejar un comentario

Su dirección de correo electrónico no será publicada. Los campos necesarios están marcados *

This website uses cookies to improve user experience. By using our website you consent to all cookies in accordance with our política de privacidad.
Estoy de acuerdo