新しいボットネット, EwDoorと呼ばれる, 野生で検出された DDoS攻撃の実行. 攻撃はパッチが適用されていない4歳の欠陥を標的にしていました (CVE-2017-6079) テレコムプロバイダーATに属するRibbonCommunicationsEgdgeMarcアプライアンス&T. EwDoorはOcboterで最初に検出されました 27 Qihoo360のNetlab研究者による.
EwDoorボットネットターゲットCVE-2017-6079
レポートによると, 10月に 27, 2021, Qihooのシステムは、「EdgewaterNetworksを攻撃する攻撃者」を特定しました’ ペイロードに比較的一意のマウントファイルシステムコマンドを含むCVE-2017-6079経由のデバイス, 私たちの注意を引いた, 分析後, これが新しいボットネットであることを確認しました, エッジウォータープロデューサーのターゲティングとそのバックドア機能に基づいています, それをEwDoorと名付けました。」
EwDoorは通過しました 3 アップデートのバージョン. その主な機能はにグループ化することができます 2 カテゴリ–DDoSおよびバックドア. ボットネットの主な目的はDDoSであるようです, 通話記録などの機密情報を収集するだけでなく.
現在, マルウェアは次の機能をサポートしています:
- 自己更新可能;
- ポートスキャンが可能;
- ファイル管理;
- DDoS攻撃の実行;
- リバースシェル
- 任意のコマンドの実行.
研究者はまた、EwDoorサンプルがダウンロードサーバーにgzip形式で保存されていることを発見しました, これは、バイナリファイルのセキュリティ検出を回避するのに役立ちます. 「以前のバージョンの作成者は、サンプルファイルをLinuxrevに作成しました。 1.0 ext2ファイルシステムファイルを使用してから、mountを使用してファイルをシステムにマウントします, これはおそらく自分自身を守るための別のトリックです,」レポートは言った.
さらに, EwDoorはダイナミックリンクを採用しています. いくつかの逆戻り防止技術を採用しているにもかかわらず, それをリバースエンジニアリングすることはまだ可能です.
感染したデバイスでEwDoorはどのように機能しますか? 侵害されたデバイスで実行する場合, その最初の使命は情報を収集することです. 次に、永続性やその他の機能の実現に進みます. ついに, 収集されたデバイス情報をコマンドアンドコントロールサーバーに報告し、それによって発行されたコマンドを実行します.
あなたは完全を得ることができます ボットネットの技術概要 元のレポートから.
九月に 2021, 新しい種類のボットネット 野生で検出されました. メリスと呼ばれる, マルウェアはMiraiを彷彿とさせます, 関係がはっきりと確認できなかったのに.