Um novo botnet, chamado EwDoor, foi detectado na natureza enquanto executar ataques DDoS. Os ataques tinham como alvo uma falha de 4 anos não corrigida (CVE-2017-6079) em aparelhos Ribbon Communications EgdgeMarc que pertencem a provedores de telecomunicações AT&T. EwDoor foi detectado pela primeira vez no Ocboter 27 por pesquisadores da Netlab da Qihoo 360.
EwDoor Botnet Metas CVE-2017-6079
De acordo com o relatório, em outubro 27, 2021, Os sistemas da Qihoo identificaram “um invasor atacando a Edgewater Networks’ dispositivos via CVE-2017-6079 com um comando de sistema de arquivos de montagem relativamente exclusivo em sua carga útil, que chamou nossa atenção, e após análise, confirmamos que se tratava de um botnet totalmente novo, e com base em sua segmentação de produtores Edgewater e seu recurso Backdoor, nós o chamamos de EwDoor. ”
EwDoor passou por 3 versões de atualizações. Suas funções principais podem ser agrupadas em 2 categorias - DDoS e backdoor. Parece que o principal objetivo da botnet é DDoS, bem como a coleta de informações confidenciais, incluindo registros de chamadas.
atualmente, o malware suporta as seguintes funções:
- Capaz de autoatualização;
- Capaz de escanear portas;
- Gerenciamento de arquivos;
- Realizando ataque DDoS;
- SHELL reverso
- Execução de comandos arbitrários.
Os pesquisadores também descobriram que as amostras de EwDoor são armazenadas na forma de gzip no servidor de download, que pode ajudar a evitar a detecção de segurança para arquivos binários. “Os autores de versões anteriores transformaram os arquivos de amostra no Linux rev 1.0 arquivos ext2 do sistema de arquivos e então usado a montagem para montar os arquivos no sistema, que provavelmente é outro truque para se proteger,”Disse o relatório.
além disso, EwDoor emprega link dinâmico. Apesar de adotar algumas técnicas anti-reversas, ainda é possível fazer engenharia reversa.
Como EwDoor funciona em um dispositivo infectado? Quando é executado no dispositivo comprometido, sua primeira missão é coletar informações. Em seguida, ele prossegue com a obtenção de persistência e outras funções. Finalmente, ele relata as informações coletadas do dispositivo para o servidor de comando e controle e executa os comandos emitidos por ele.
Você pode obter um completo visão geral técnica do botnet do relatório original.
Em setembro 2021, um botnet de um novo tipo foi detectado na natureza. Meris Chamado, o malware é uma reminiscência do Mirai, mesmo que a relação não pudesse ser definitivamente confirmada.
Milena Dimitrova
Um escritor inspirado e gerente de conteúdo que está com SensorsTechForum desde o início do projeto. Um profissional com 10+ anos de experiência na criação de conteúdo envolvente. Focada na privacidade do usuário e desenvolvimento de malware, ela acredita fortemente em um mundo onde a segurança cibernética desempenha um papel central. Se o senso comum não faz sentido, ela vai estar lá para tomar notas. Essas notas podem mais tarde se transformar em artigos! Siga Milena @Milenyim
Me siga: