Een bekende kwetsbaarheid genaamd ThinkPHP, die werd onthuld en in december vorig jaar vast, is uitgebuit voor botnet propagatie door een nieuwe variant Mirai, Yowai, een variant van Gafgyt zogenaamde Hakai. De ontdekking komt van Trend Micro, en Mirai botnet verschil wordt geconstateerd BACKDOOR.LINUX.YOWAI.A.
Blijkbaar, hackers gebruik van websites gemaakt met de PHP framework om webservers te doorbreken via woordenboek aanvallen op standaard referenties. Dit helpt hen controle krijgen van de getroffen routers in DDoS-aanvallen. Trend Micro telemetrie geeft aan dat de twee botnets, Yowai en Hakai, geleid tot een onverwachte toename van aanvallen en infectie pogingen in de periode tussen januari 11 en januari 17.
Technisch overzicht van de Yowai Botnet
De Yowai botnet blijkt een configuratietabel die vergelijkbaar is met andere Mirai varianten. Dit betekent dat de tafel kan worden gedecodeerd volgens dezelfde procedures. De ThinkPHP kwetsbaarheid is geschakeld met andere bekende gebreken.
Yowai luistert op poort 6 opdrachten van de command and control ontvangen (C&C) server. Na het infecteert een router, het maakt gebruik van dictionary attack in een poging om andere apparaten te infecteren. De getroffen router wordt nu onderdeel van een botnet dat de operator in staat stelt om de getroffen apparaten te gebruiken voor de lancering van DDoS-aanvallen, Trend Micro zei in hun verslag.
Bovendien, meerdere exploits worden ingezet het woordenboek aanvallen uit te voeren. Een bericht op de console van de gebruiker wordt weergegeven na de aanslag. Het botnet verwijst ook naar een dodenlijst van concurrerende botnets en het de bedoeling om ze uit te roeien het beoogde systeem. Zoals reeds gezegd, de ThinkPHP kwetsbaarheid is niet de enige die in deze aanvallen. Het monster analyseerden de onderzoekers gebruik gemaakt van de volgende gebreken: CVE-2014-8361, een Linksys RCE, CVE-2018-10.561, CCTV-DVR RCE.
Technisch overzicht van de Hakai Botnet
Hakai, de variant Gafgyt, is eerder gedetecteerd te vertrouwen op router kwetsbaarheden in aanvallen op ivd-apparaten. Het monster door TrendMicro analyseren gebruikt veiligheidsproblemen die waarschijnlijk zijn gepatcht, en ook gebruikt kwetsbaarheden in ThinkPHP, D-Link DSL-2750B router vuln, CVE-2015-2051, CVE-2014-8361, en CVE-2017-17.215 om zich te verspreiden en uit te voeren verschillende DDoS-aanvallen.
Het is opmerkelijk dat de Hakai monster bevatte codes gekopieerd van Mirai, zoals de code voor het coderen van de configuratietabel.
Echter, de functies die we hebben geïdentificeerd zijn niet operationeel, we vermoeden dat de codes voor telnet dictionary attack opzettelijk werden verwijderd om dit Hakai variant stealthier maken.
Sinds Mirai varianten typisch doden concurrerende botnets, kan het voordelig zijn deze Hakai variant vermijden targeting ivd apparaten die gebruik standaardreferenties. De benadering van langs zuiver exploits voor vermeerdering moeilijker te detecteren in vergelijking met telnet bruteforcing, die waarschijnlijk verklaart de piek zagen we in de aanval pogingen van onze detectie en het blokkeren van technologie, het verslag wordt opgemerkt.
Milena Dimitrova
Een bevlogen schrijver en contentmanager die sinds de start van het project bij SensorsTechForum werkt. Een professional met 10+ jarenlange ervaring in het creëren van boeiende inhoud. Gericht op de privacy van gebruikers en malware ontwikkeling, ze gelooft sterk in een wereld waar cybersecurity speelt een centrale rol. Als het gezond verstand heeft geen zin, ze zullen er zijn om aantekeningen te maken. Deze toelichtingen kunnen later om te zetten in artikelen! Volg Milena @Milenyim
Volg mij:
Hallo,
Hoop dat je aan het doen bent geweldig.
Ik ben geïnteresseerd in uw website
voor een blog / gastpost.
Kunt u mij voorzien van de volgende gegevens.
Prijs voor blog / gastpost.?
gokken / niet gokken.?
zult u het artikel te schrijven.?
zal de post-programma's op de homepage ..??
laat het me weten,
bedanken
Hallo daar,
sensorentechforum.com/category/guest-blogging/