新型僵尸网络EwDoor来袭,AT&T客户5700台设备受感染

安全
基于被攻击设备与电话通信相关,研究人员推测EwDoor主要目的是 DDoS 攻击,以及收集通话记录等敏感信息。

[[437908]]

近期,奇虎360 Netlab研究人员发现一个新的僵尸网络—— EwDoor,该僵尸网络利用四年前的一个严重漏洞(编号CVE-2017-6079),针对未打补丁的AT&T客户发起猛烈攻击,仅三个小时,就导致将近6000台设备受损。

“2021年10月27日,我们的 Botmon 系统发现攻击者通过 CVE-2017-6079 攻击 Edgewater Networks 的设备,在其有效载荷中使用相对独特的挂载文件系统命令,这引起了我们的注意,经过分析,我们确认这是一个全新的僵尸网络,基于它针对 Edgewater 生产商及其后门功能,我们将其命名为 EwDoor。” 奇虎360发布报告分析。

EdgeMarc 设备支持高容量 VoIP 和数据环境,弥补了运营服务提供商在企业网络服务上的缺陷。但同时,这也要求设备需公开暴露在 Internet 上,无可避免地增加了其受远程攻击的风险。

三小时内发现近6000台受损设备

研究人员通过注册其备份命令和控制 (C2) 域,监控从受感染设备发出的请求,以确定僵尸网络的规模。不幸的是,在遇到主 C2 网络故障后,EwDoor 重新配置了其通信模型。

在短短三小时内,研究人员发现受感染的系统是 AT&T 使用的EdgeMarc Enterprise Session Border Controller。并且专家已经确定了位于美国的5700台受感染设备(IP)。

“通过回查这些设备使用的 SSl 证书,我们发现大约有 10 万个 IP 使用相同的 SSl 证书。我们不确定与这些 IP 对应的设备有多少可能被感染,但我们可以推测,由于它们属于同一类设备,因此可能的影响是真实的。”

EwDoor主要目的是 DDoS 攻击

研究发现,EwDoor已经经历了3个版本的更新,其主要功能可以概括为DDoS攻击和Backdoor两大类。基于被攻击设备与电话通信相关,研究人员推测EwDoor主要目的是 DDoS 攻击,以及收集通话记录等敏感信息。

EwDoor支持六大功能(基本逻辑如下所示):

  • 自我更新
  • 端口扫描
  • 文件管理
  • DDoS 攻击
  • 反壳
  • 执行任意命令

EwDoor 僵尸网络 (360 Netlab)

为了躲避安全专家的分析,EwDoor竟采取了一系列保护措施,例如使用TLS协议防止通信被拦截,敏感资源加密等。“修改ELF中的'ABIFLAGS'PHT以对抗qemu-user和一些高内核版本的linux沙箱。这是一个比较少见的对策,说明EwDoor的作者对Linux内核、QEMU、Edgewater设备非常熟悉。”研究报告提到。

专家还在报告中提供了有关 EwDoor 僵尸网络的其他技术细节,并分享了针对此威胁的入侵指标 (IOC)。

 

责任编辑:赵宁宁 来源: FreeBuf
相关推荐

2012-12-21 15:17:50

Android

2021-10-13 14:38:06

僵尸网络漏洞黑客

2021-01-20 23:48:57

FreakOut僵尸网络漏洞

2022-03-13 09:02:26

僵尸网络Emotet

2023-02-22 14:11:11

2020-06-19 16:02:03

物联网僵尸网络DDoS攻击

2012-12-06 11:44:22

2021-11-12 16:16:57

僵尸网络BotenaGo设备

2010-08-31 13:05:25

2012-07-26 09:48:46

2022-12-19 15:04:21

2011-07-25 17:16:05

2023-02-17 18:29:09

2011-04-14 10:25:01

2010-08-31 12:45:36

2020-04-02 14:04:45

僵尸网络恶意软件网络攻击

2020-03-11 11:18:39

僵尸网络恶意软件加密劫持

2024-05-15 15:16:56

2010-03-17 14:56:28

路由设备测试

2020-08-26 09:49:20

物联网安全僵尸网络物联网
点赞
收藏

51CTO技术栈公众号