Uma vulnerabilidade conhecida apelidado ThinkPHP, que foi divulgado e fixado em dezembro do ano passado, tem sido explorado por botnet propagação por uma nova variante Mirai, Yowai, uma variante de Gafgyt conhecido como Hakai. A descoberta vem de Trend Micro, e a variação do botnet Mirai foi detectada como BACKDOOR.LINUX.YOWAI.A.
Pelo visto, hackers estão usando sites criados com a estrutura PHP para violar servidores da web por meio de ataques de dicionário em credenciais padrão. Isso os ajuda a obter controle dos roteadores afetados em ataques DDoS. A telemetria da Trend Micro indica que os dois botnets, Yowai e Hakai, desencadeou um aumento inesperado de ataques e tentativas de infecção no período entre janeiro 11 e janeiro 17.
Visão geral técnica do botnet Yowai
O botnet Yowai parece ter uma tabela de configuração semelhante a outras variantes do Mirai. Isso significa que a tabela pode ser descriptografada usando os mesmos procedimentos. A vulnerabilidade do ThinkPHP está ligada a outras falhas conhecidas.
Yowai escuta no porto 6 para receber comandos do comando e controle (C&C) servidor. Depois de infectar um roteador, ele usa ataque de dicionário na tentativa de infectar outros dispositivos. O roteador afetado agora se torna parte de um botnet que permite que seu operador use os dispositivos afetados para lançar ataques DDoS, Trend Micro disse em seu relatório.
além do que, além do mais, vários exploits são implantados para realizar os ataques de dicionário. Uma mensagem no console do usuário é exibida após o ataque. O botnet também faz referência a uma lista de eliminação de botnets concorrentes e tem como objetivo erradicá-los do sistema visado. Como já mencionado, a vulnerabilidade ThinkPHP não é a única usada nesses ataques. A amostra que os pesquisadores analisaram explorou as seguintes falhas: CVE-2014-8361, um Linksys RCE, CVE-2018-10561, CCTV-DVR RCE.
Visão geral técnica do botnet Hakai
Hakai, a variante Gafgyt, foi detectado anteriormente para depender de vulnerabilidades de roteador em ataques direcionados a dispositivos IoT. A amostra analisada pela TrendMicro está usando falhas de segurança que provavelmente não foram corrigidas, e também utilizou vulnerabilidades no ThinkPHP, D-Link DSL-2750B roteador vuln, CVE-2015-2051, CVE-2014-8361, e CVE-2017-17215 para propagar e realizar vários ataques DDoS.
Vale ressaltar que a amostra de Hakai continha códigos copiados do Mirai, como o código para criptografar a tabela de configuração.
Contudo, as funções que identificamos não são operacionais, suspeitamos que os códigos para ataque de dicionário telnet foram intencionalmente removidos para tornar esta variante de Hakai mais furtiva.
Como as variantes do Mirai normalmente matam botnets concorrentes, pode ser vantajoso para esta variante do Hakai evitar visar dispositivos IoT que usam credenciais padrão. A abordagem de usar apenas exploits para propagação é mais difícil de detectar em comparação com a força bruta do telnet, o que provavelmente explica o pico que observamos nas tentativas de ataque de nossa tecnologia de detecção e bloqueio, o relatório observou.
Milena Dimitrova
Um escritor inspirado e gerente de conteúdo que está com SensorsTechForum desde o início do projeto. Um profissional com 10+ anos de experiência na criação de conteúdo envolvente. Focada na privacidade do usuário e desenvolvimento de malware, ela acredita fortemente em um mundo onde a segurança cibernética desempenha um papel central. Se o senso comum não faz sentido, ela vai estar lá para tomar notas. Essas notas podem mais tarde se transformar em artigos! Siga Milena @Milenyim
Me siga:
Olá,
Espero que você esteja bem.
Estou interessado no seu site
para um blog / postagem de convidado.
Você pode me fornecer os seguintes detalhes.
Preço por postagem de blog / convidado.?
jogos de azar / não jogos de azar.?
você vai escrever o artigo.?
a postagem será exibida na página inicial ..??
avise,
Obrigado
Olá,
sensorstechforum.com/category/guest-blogging/