近期,奇虎360 Netlab研究人员发现一个新的僵尸网络—— EwDoor,该僵尸网络利用四年前的一个严重漏洞(编号CVE-2017-6079),针对未打补丁的AT&T客户发起猛烈攻击,仅三个小时,就导致将近6000台设备受损。
“2021年10月27日,我们的 Botmon 系统发现攻击者通过 CVE-2017-6079 攻击 Edgewater Networks 的设备,在其有效载荷中使用相对独特的挂载文件系统命令,这引起了我们的注意,经过分析,我们确认这是一个全新的僵尸网络,基于它针对 Edgewater 生产商及其后门功能,我们将其命名为 EwDoor。” 奇虎360发布报告分析。
EdgeMarc 设备支持高容量 VoIP 和数据环境,弥补了运营服务提供商在企业网络服务上的缺陷。但同时,这也要求设备需公开暴露在 Internet 上,无可避免地增加了其受远程攻击的风险。
三小时内发现近6000台受损设备
研究人员通过注册其备份命令和控制 (C2) 域,监控从受感染设备发出的请求,以确定僵尸网络的规模。不幸的是,在遇到主 C2 网络故障后,EwDoor 重新配置了其通信模型。
在短短三小时内,研究人员发现受感染的系统是 AT&T 使用的EdgeMarc Enterprise Session Border Controller。并且专家已经确定了位于美国的5700台受感染设备(IP)。
“通过回查这些设备使用的 SSl 证书,我们发现大约有 10 万个 IP 使用相同的 SSl 证书。我们不确定与这些 IP 对应的设备有多少可能被感染,但我们可以推测,由于它们属于同一类设备,因此可能的影响是真实的。”
EwDoor主要目的是 DDoS 攻击
研究发现,EwDoor已经经历了3个版本的更新,其主要功能可以概括为DDoS攻击和Backdoor两大类。基于被攻击设备与电话通信相关,研究人员推测EwDoor主要目的是 DDoS 攻击,以及收集通话记录等敏感信息。
EwDoor支持六大功能(基本逻辑如下所示):
- 自我更新
- 端口扫描
- 文件管理
- DDoS 攻击
- 反壳
- 执行任意命令
EwDoor 僵尸网络 (360 Netlab)
为了躲避安全专家的分析,EwDoor竟采取了一系列保护措施,例如使用TLS协议防止通信被拦截,敏感资源加密等。“修改ELF中的'ABIFLAGS'PHT以对抗qemu-user和一些高内核版本的linux沙箱。这是一个比较少见的对策,说明EwDoor的作者对Linux内核、QEMU、Edgewater设备非常熟悉。”研究报告提到。
专家还在报告中提供了有关 EwDoor 僵尸网络的其他技术细节,并分享了针对此威胁的入侵指标 (IOC)。