Una nuova botnet, chiamato EwDoor, è stato rilevato in natura mentre eseguire attacchi DDoS. Gli attacchi avevano come bersaglio un difetto di 4 anni senza patch (CVE-2017-6079) in Ribbon Communications gli apparecchi EgdgeMarc che appartengono ai fornitori di telecomunicazioni AT&T. EwDoor è stato rilevato per la prima volta su Ocboter 27 dai ricercatori Netlab di Qihoo 360.
La botnet EwDoor si rivolge a CVE-2017-6079
Secondo il rapporto, a ottobre 27, 2021, I sistemi di Qihoo hanno identificato "un aggressore che attacca Edgewater Networks’ dispositivi tramite CVE-2017-6079 con un comando del file system di montaggio relativamente unico nel suo payload, che ha attirato la nostra attenzione, e dopo l'analisi, abbiamo confermato che si trattava di una botnet nuova di zecca, e in base al suo targeting dei produttori di Edgewater e alla sua funzione Backdoor, l'abbiamo chiamato EwDoor.”
EwDoor è passato 3 versioni di aggiornamenti. Le sue funzioni principali possono essere raggruppate in 2 categorie – DDoS e backdoor. Sembra che lo scopo principale della botnet sia DDoS, oltre a raccogliere informazioni sensibili inclusi i registri delle chiamate.
Attualmente, il malware supporta le seguenti funzioni:
- Capace di auto-aggiornarsi;
- In grado di eseguire la scansione delle porte;
- Gestione dei file;
- Esecuzione di attacchi DDoS;
- SCOCCA ROVESCIATA
- Esecuzione di comandi arbitrari.
I ricercatori hanno anche scoperto che i campioni di EwDoor sono archiviati sotto forma di gzip sul server di download, che può aiutare a eludere il rilevamento di sicurezza per i file binari. “Gli autori delle versioni precedenti hanno trasformato i file di esempio in Linux rev 1.0 ext2 file system e poi usato mount per montare i file sul sistema, che è probabilmente un altro trucco per proteggersi,”Dice il rapporto.
Inoltre, EwDoor utilizza il collegamento dinamico. Nonostante l'adozione di alcune tecniche anti-inversione, è ancora possibile decodificarlo.
Come funziona EwDoor su un dispositivo infetto?? Quando viene eseguito sul dispositivo compromesso, la sua prima missione è raccogliere informazioni. Quindi procede con il raggiungimento della persistenza e di altre funzioni. Infine, riporta le informazioni sul dispositivo raccolte al server di comando e controllo ed esegue i comandi emessi da esso.
Puoi ottenere un pieno panoramica tecnica della botnet dal rapporto originale.
Nel mese di settembre 2021, una botnet di nuovo tipo è stato rilevato in natura. chiamato Meris, il malware ricorda Mirai, anche se la relazione non poteva essere definitivamente confermata.
Milena Dimitrova
Uno scrittore ispirato e un gestore di contenuti che è stato con SensorsTechForum dall'inizio del progetto. Un professionista con 10+ anni di esperienza nella creazione di contenuti accattivanti. Incentrato sulla privacy degli utenti e lo sviluppo di malware, crede fortemente in un mondo in cui la sicurezza informatica gioca un ruolo centrale. Se il buon senso non ha senso, lei sarà lì per prendere appunti. Quelle note possono poi trasformarsi in articoli! Seguire Milena @Milenyim
Seguimi: