Una vulnerabilità nota soprannominato ThinkPHP, che è stato divulgato e fissato nel dicembre dello scorso anno, è stato sfruttato per botnet propagazione da una nuova variante Mirai, Yowai, una variante di Gafgyt noto come Hakai. La scoperta viene da Trend Micro, e la variazione botnet Mirai è stato rilevato come BACKDOOR.LINUX.YOWAI.A.
Apparentemente, gli hacker stanno utilizzando i siti web creati con il framework PHP di violare i server web tramite gli attacchi del dizionario su credenziali di default. Questo li aiuta a ottenere il controllo dei router coinvolti in attacchi DDoS. telemetria di Trend Micro indica che i due botnet, Yowai e Hakai, innescato un aumento inatteso attacchi e tentativi di infezione nel periodo compreso tra gennaio 11 e gennaio 17.
Panoramica tecnica della Yowai Botnet
La botnet Yowai sembra avere una tabella di configurazione che è simile ad altre varianti Mirai. Ciò significa che la tabella può essere decifrato utilizzando le stesse procedure. La vulnerabilità ThinkPHP è concatenato con altri difetti noti.
Yowai in ascolto sulla porta 6 ricevere comandi dal comando e controllo (C&C) server. Dopo che infetta un router, usa attacco del dizionario nel tentativo di infettare altri dispositivi. Il router interessata diventa ora parte di una botnet che consente il suo operatore di utilizzare i dispositivi interessati per lanciare attacchi DDoS, Trend Micro ha detto in il loro rapporto.
In aggiunta, diversi exploit sono schierati per effettuare gli attacchi del dizionario. Viene visualizzato un messaggio sulla console dell'utente dopo l'attacco. La botnet fa riferimento anche un elenco di uccidere botnet concorrenti e si propone di sradicarle dal sistema mirato. Come già accennato, la vulnerabilità ThinkPHP non è l'unico utilizzato in questi attacchi. Il campione i ricercatori hanno analizzato sfruttato i seguenti difetti: CVE-2014-8361, un Linksys RCE, CVE-2.018-10.561, CCTV-DVR RCE.
Panoramica tecnica della Hakai Botnet
Hakai, la variante Gafgyt, è stato rilevato in precedenza a fare affidamento su vulnerabilità di router in attacchi mirati dispositivi IoT. Il campione analizzato da TrendMicro sta usando falle di sicurezza che potrebbero senza patch, ed è anche utilizzato vulnerabilità in ThinkPHP, D-Link DSL-2750B router vuln, CVE-2015-2051, CVE-2014-8361, e CVE-2.017-17.215 per propagare ed eseguire diversi attacchi DDoS.
È interessante notare che il campione Hakai codici copiati da Mirai contenuta, come il codice per cifrare la tabella di configurazione.
Tuttavia, le funzioni che abbiamo identificato non sono operative, abbiamo il sospetto che i codici per l'attacco dizionario telnet sono stati volutamente rimossi per rendere questa variante subdoli Hakai.
Dal momento che Mirai varianti tipicamente uccidere botnet concorrenti, può essere vantaggioso per questa variante Hakai per evitare il targeting dispositivi internet degli oggetti che utilizzano credenziali di default. L'approccio di utilizzare unicamente exploit per la propagazione è più difficile da rilevare rispetto a telnet bruteforcing, che probabilmente spiega il picco che abbiamo osservato nel tentativo di attacco da rilevamento e la tecnologia di blocco, il rapporto osserva.
Ciao,
Auguro che il vostro stanno facendo grande.
Sono interessato nel tuo sito web
per un / guest post del blog.
Potete per favore fornirmi i seguenti dettagli.
Prezzo per il blog / Ospite Messaggio.?
il gioco d'azzardo / non gioco d'azzardo.?
vi scrivere l'articolo.?
sarà il post mostra sulla home page ..??
fammi sapere,
grazie
Ciao,
sensorstechforum.com/category/guest-blogging/