Un nouveau botnet, appelé EwDoor, a été détecté dans la nature alors que effectuer des attaques DDoS. Les attaques visaient une faille non corrigée vieille de 4 ans (CVE-2017-6079) dans les appareils Ribbon Communications EgdgeMarc qui appartiennent aux fournisseurs de télécommunications AT&T. EwDoor a été détecté pour la première fois sur Ocboter 27 par les chercheurs Netlab de Qihoo 360.
Le botnet EwDoor cible CVE-2017-6079
Selon le rapport, en octobre 27, 2021, Les systèmes de Qihoo ont identifié « un attaquant attaquant Edgewater Networks’ périphériques via CVE-2017-6079 avec une commande de système de fichiers de montage relativement unique dans sa charge utile, qui a retenu notre attention, et après analyse, nous avons confirmé qu'il s'agissait d'un tout nouveau botnet, et basé sur son ciblage des producteurs Edgewater et sa fonction Backdoor, nous l'avons nommé EwDoor.
EwDoor a traversé 3 versions des mises à jour. Ses principales fonctions peuvent être regroupées en 2 catégories – DDoS et porte dérobée. Il semble que le but principal du botnet soit le DDoS, ainsi que la collecte d'informations sensibles, y compris les journaux d'appels.
Actuellement, le malware prend en charge les fonctions suivantes:
- Capable de se mettre à jour automatiquement;
- Capable de scanner les ports;
- Gestion de fichiers;
- Mener une attaque DDoS;
- COQUE inversée
- Exécution de commandes arbitraires.
Les chercheurs ont également découvert que les échantillons EwDoor sont stockés sous forme de gzip sur le serveur de téléchargement, qui peut aider à échapper à la détection de sécurité pour les fichiers binaires. « Les auteurs des versions antérieures ont créé les exemples de fichiers dans Linux rev 1.0 ext2 fichiers du système de fichiers, puis utilisé mount pour monter les fichiers sur le système, ce qui est probablement une autre astuce pour se protéger,» Le rapport.
En outre, EwDoor utilise la liaison dynamique. Malgré l'adoption de certaines techniques anti-retour, il est toujours possible de le rétro-concevoir.
Comment fonctionne EwDoor sur un appareil infecté? Lorsqu'il s'exécute sur l'appareil compromis, sa première mission est de collecter des informations. Ensuite, il procède à la réalisation de la persistance et d'autres fonctions. Enfin, il rapporte les informations collectées sur l'appareil au serveur de commande et de contrôle et exécute les commandes émises par celui-ci.
Vous pouvez obtenir une pleine présentation technique du botnet du rapport original.
En Septembre 2021, un botnet d'un nouveau genre a été détecté dans la nature. Appelé Meris, le malware rappelle Mirai, même si la relation n'a pas pu être définitivement confirmée.