Une vulnérabilité connue baptisée ThinkPHP, qui a été divulgué et fixe en Décembre l'année dernière, a été exploitée pour la propagation de botnet par une nouvelle variante Mirai, Yowai, une variante de Gafgyt connu sous le nom Hakai. La découverte provient de Trend Micro, et la variation de botnet Mirai a été détecté comme BACKDOOR.LINUX.YOWAI.A.
Apparemment, les pirates utilisent des sites Web créés avec le framework PHP pour violation des serveurs Web via des attaques de dictionnaire sur les informations d'identification par défaut. Cela les aide à prendre le contrôle des routeurs affectés dans les attaques DDoS. La télémétrie de Trend Micro indique que les deux réseaux de zombies, Yowai et Hakai, déclenché une augmentation inattendue des attaques et des tentatives d'infection dans la période entre Janvier 11 et Janvier 17.
Présentation technique du Yowai Botnet
Le botnet Yowai semble avoir une table de configuration qui est similaire à d'autres variantes Mirai. Cela signifie que la table peut être déchiffré en utilisant les mêmes procédures. La vulnérabilité ThinkPHP est enchaînée avec d'autres défauts connus.
Yowai écoute sur le port 6 pour recevoir des commandes de la commande et de contrôle (C&C) serveur. Après un routeur infecte, il utilise le dictionnaire attaque pour tenter d'infecter d'autres appareils. Le routeur affecté devient partie d'un botnet qui permet à son opérateur d'utiliser les appareils concernés pour lancer des attaques DDoS, Trend Micro a déclaré dans leur rapport.
En outre, plusieurs exploits sont déployés pour mener à bien les attaques de dictionnaire. Un message sur la console de l'utilisateur apparaît à la suite de l'attaque. Le botnet fait également référence à une liste de tuer des botnets en compétition et vise à les éradiquer du système ciblé. Comme déjà mentionné, la vulnérabilité ThinkPHP n'est pas le seul utilisé dans ces attaques. L'échantillon les chercheurs ont analysé les défauts suivants exploité: CVE-2014-8361, Linksys RCE, CVE-2018-10561, CCTV-DVR RCE.
Présentation technique du Hakai Botnet
Hakai, la variante Gafgyt, a été détectée auparavant compter sur les vulnérabilités du routeur dans les attaques ciblant les dispositifs IdO. L'échantillon analysé par TrendMicro utilise des failles de sécurité qui sont susceptibles non patché, et vulnérabilités également utilisé dans ThinkPHP, D-Link routeur DSL-2750B vuln, CVE-2015-2051, CVE-2014-8361, et CVE-2017-17215 pour propager et effectuer diverses attaques DDoS.
Il est à noter que l'échantillon contenait Hakai codes copiés à partir Mirai, tel que le code de cryptage de la table de configuration.
Cependant, les fonctions que nous avons identifiés ne sont pas opérationnels, nous soupçonnons que les codes d'attaque de dictionnaire telnet ont été retirés volontairement pour rendre cette variante Hakai stealthier.
Depuis Mirai variantes tuent généralement les réseaux de zombies en compétition, il peut être avantageux pour cette variante Hakai pour éviter de cibler les appareils IdO qui utilisent les informations d'identification par défaut. L'approche d'utiliser uniquement les exploits pour la propagation est plus difficile à détecter par rapport à telnet bruteforcing, ce qui explique probablement le pic nous avons observé dans les tentatives d'attaque de notre technologie de détection et de blocage, le rapport note.
Milena Dimitrova
Un écrivain et gestionnaire de contenu inspiré qui travaille avec SensorsTechForum depuis le début du projet. Un professionnel avec 10+ années d'expérience dans la création de contenu engageant. Axé sur la vie privée des utilisateurs et le développement des logiciels malveillants, elle croit fermement dans un monde où la cybersécurité joue un rôle central. Si le bon sens n'a pas de sens, elle sera là pour prendre des notes. Ces notes peuvent se tourner plus tard dans les articles! Suivre Milena @Milenyim
Suivez-moi:
Bonjour,
Je espère que votre font grand.
Je suis intéressé par votre site Web
pour un blog / poste client.
Pouvez-vous s'il vous plaît me fournir les détails suivants.
Prix pour blog / poste client.?
jeu / non jeu.?
vous écrire l'article.?
La poste montre la page d'accueil ..??
faites le moi savoir,
Remercier
salut,
sensorstechforum.com/category/guest-blogging/