Una vulnerabilidad conocida apodado ThinkPHP, que fue dado a conocer y se fijaron en diciembre del año pasado, se ha explotado para la propagación botnet por una nueva variante Mirai, Yowai, una variante de Gafgyt conocido como Hakai. El descubrimiento proviene de Trend Micro, y la variación botnet Mirai se ha detectado como BACKDOOR.LINUX.YOWAI.A.
Al parecer,, los hackers están utilizando sitios web creados con la herramienta PHP para romper los servidores web a través de ataques de diccionario sobre las credenciales predeterminadas. Esto les ayuda a obtener el control de los routers afectados en los ataques DDoS. telemetría de Trend Micro indica que las dos redes de bots, Yowai y Hakai, desencadenado un aumento inesperado de los ataques e intentos de infección en el período comprendido entre enero 11 y enero 17.
Descripción técnica general de la Yowai Botnet
El botnet Yowai parece tener una tabla de configuración que es similar a otras variantes Mirai. Esto significa que la mesa puede ser descifrado utilizando los mismos procedimientos. La vulnerabilidad ThinkPHP está encadenado con otros defectos conocidos.
Yowai escucha en el puerto 6 para recibir comandos desde el mando y control (C&C) servidor. Tras afectar a un router, que utiliza el ataque de diccionario en un intento de infectar a otros dispositivos. El router afectada ahora se convierte en parte de una botnet que permite a su operador para utilizar los dispositivos afectados para lanzar ataques DDoS, Trend Micro dijo en su informe.
Adicionalmente, varios exploits están desplegados para llevar a cabo los ataques de diccionario. Un mensaje en la consola del usuario aparece tras el ataque. La botnet también hace referencia a una lista de muerte de las redes de bots que compiten y su objetivo es erradicarlos del sistema de destino. Como ya se ha mencionado, la vulnerabilidad ThinkPHP no es el único usado en estos ataques. La muestra de los investigadores analizaron explotado los siguientes defectos: CVE-2014-8361, un RCE Linksys, CVE-2.018 a 10.561, CCTV DVR-RCE.
Descripción técnica general de la Hakai Botnet
Hakai, la variante Gafgyt, se ha detectado antes de confiar en las vulnerabilidades del router en ataques dirigidos a dispositivos IO. La muestra analizada por TrendMicro está utilizando fallos de seguridad que probablemente unpatched, y también utiliza vulnerabilidades en ThinkPHP, D-Link DSL-2750B VULN enrutador, CVE-2015-2051, CVE-2014-8361, y CVE-2017 hasta 17215 para propagar y llevar a cabo diversos ataques DDoS.
Es de destacar que la muestra contenía Hakai códigos copiados de Mirai, tal como el código para cifrar la tabla de configuración.
Sin embargo, las funciones que hemos identificado no son operativa, sospechamos que los códigos de ataque de diccionario telnet se eliminaron a propósito para hacer esta variante más sigiloso Hakai.
Desde Mirai variantes suelen matar botnets que compiten, puede ser ventajoso para esta variante Hakai para evitar la orientación dispositivos IO que utilizan credenciales predeterminadas. El enfoque de utilizar únicamente exploits para la propagación es más difícil de detectar en comparación con fuerza bruta telnet, lo que probablemente explica el pico se observó en los intentos de ataque de nuestra tecnología de detección y bloqueo, el informe señaló.
Milena Dimitrova
Un escritor inspirado y administrador de contenido que ha estado con SensorsTechForum desde que comenzó el proyecto.. Un profesional con 10+ años de experiencia en la creación de contenido atractivo. Centrado en la privacidad de los usuarios y el desarrollo de malware, ella cree firmemente en un mundo donde la seguridad cibernética juega un papel central. Si el sentido común no tiene sentido, ella estará allí para tomar notas. Esas notas pueden convertirse más tarde en artículos! Siga Milena @Milenyim
Sígueme:
¡Hola,
Esperamos que su están haciendo grandes.
Estoy interesado en su sitio web
para un blog / puesto de invitado.
¿Me podría proporcionar los siguientes datos.
Precio de entrada en el blog / invitado.?
los juegos de azar / no juegos de azar.?
va a escribir el artículo.?
se muestra el mensaje en la página principal ..??
Házmelo saber,
Gracias
Hola,
sensorestechforum.com/category/guest-blogging/