Een nieuw botnet, genaamd EwDoor, werd ontdekt in het wild terwijl uitvoeren DDoS-aanvallen. De aanvallen waren gericht op een niet-gepatchte 4-jarige fout (CVE-2017-6079) in Ribbon Communications EdgedgeMarc-apparaten van telecomproviders AT&T. EwDoor werd voor het eerst gedetecteerd op Ocboter 27 door de Netlab-onderzoekers van Qihoo 360.
EwDoor Botnet-doelen CVE-2017-6079
Volgens het rapport, in oktober 27, 2021, Qihoo's systemen identificeerden "een aanvaller die Edgewater Networks aanvalt"’ apparaten via CVE-2017-6079 met een relatief unieke opdracht voor het mount-bestandssysteem in de payload, die onze aandacht had, en na analyse, we hebben bevestigd dat dit een gloednieuw botnet is, en gebaseerd op de targeting van Edgewater-producenten en de Backdoor-functie, we noemden het EwDoor.”
EwDoor heeft meegemaakt 3 versies van updates. De belangrijkste functies kunnen worden gegroepeerd in: 2 categorieën – DDoS en achterdeur. Het lijkt erop dat het belangrijkste doel van het botnet DDoS is, evenals het verzamelen van gevoelige informatie, waaronder oproeplogboeken.
Momenteel, de malware ondersteunt de volgende functies::
- In staat om zichzelf te updaten;
- Geschikt voor poortscannen;
- Bestandsbeheer;
- DDoS-aanval uitvoeren;
- Omgekeerde SHELL
- Uitvoering van willekeurige opdrachten.
De onderzoekers ontdekten ook dat EwDoor-samples in de vorm van gzip op de downloadserver worden opgeslagen, die kan helpen de beveiligingsdetectie voor binaire bestanden te omzeilen. “De auteurs van eerdere versies hebben de voorbeeldbestanden in Linux rev 1.0 ext2-bestandssysteembestanden en vervolgens mount gebruikt om de bestanden op het systeem te koppelen, wat waarschijnlijk een andere truc is om zichzelf te beschermen,”Aldus het rapport.
Bovendien, EwDoor maakt gebruik van dynamische koppeling. Ondanks het toepassen van enkele anti-reverse technieken, het is nog steeds mogelijk om het te reverse-engineeren.
Hoe werkt EwDoor op een geïnfecteerd apparaat?? Wanneer het draait op het gecompromitteerde apparaat, haar eerste missie is het verzamelen van informatie. Daarna gaat het verder met het bereiken van persistentie en andere functies. Eindelijk, het rapporteert de verzamelde apparaatinformatie aan de command-and-control-server en voert de opdrachten uit die door het worden gegeven.
U kunt een volledige technisch overzicht van het botnet uit het originele rapport.
In september 2021, een botnet van een nieuw soort werd in het wild aangetroffen. genaamd Meris, de malware doet denken aan Mirai, ook al kon de relatie niet definitief worden bevestigd.
Milena Dimitrova
Een bevlogen schrijver en contentmanager die sinds de start van het project bij SensorsTechForum werkt. Een professional met 10+ jarenlange ervaring in het creëren van boeiende inhoud. Gericht op de privacy van gebruikers en malware ontwikkeling, ze gelooft sterk in een wereld waar cybersecurity speelt een centrale rol. Als het gezond verstand heeft geen zin, ze zullen er zijn om aantekeningen te maken. Deze toelichtingen kunnen later om te zetten in artikelen! Volg Milena @Milenyim
Volg mij: