Hakai和Yowai僵尸网络使用ThinkPHP漏洞进行传播

栏目: PHP · 发布时间: 5年前

内容简介:近日研究人员发现网络犯罪分子开始利用一个2018年12月修复的ThinkPHP漏洞来进行僵尸网络的传播,传播的这两个僵尸网络是Mirai的变种Yowai和Gafgyt的变种Hakai。攻击者通过默认凭证字典攻击的方法来攻击使用该PHP框架创建的web站点,并获取这些路由器的控制权来发起DDOS攻击。研究人员发现这两个恶意软件类型导致1月11日到17日攻击和感染数据攀升。研究人员分析发现Yowai有一个与其他Mirai变种类似的配置表。配置表也是用相同的步骤来解密,并在感染入口向量中加入了其他已知的Think

近日研究人员发现网络犯罪分子开始利用一个2018年12月修复的ThinkPHP漏洞来进行僵尸网络的传播,传播的这两个僵尸网络是Mirai的变种Yowai和Gafgyt的变种Hakai。攻击者通过默认凭证字典攻击的方法来攻击使用该 PHP 框架创建的web站点,并获取这些路由器的控制权来发起DDOS攻击。研究人员发现这两个恶意软件类型导致1月11日到17日攻击和感染数据攀升。

Yowai

研究人员分析发现Yowai有一个与其他Mirai变种类似的配置表。配置表也是用相同的步骤来解密,并在感染入口向量中加入了其他已知的ThinkPHP漏洞利用。

Yowai会监听端口6来接收来自C2服务器的命令。在感染路由器后,会用字典攻击来尝试感染其他设备。受感染的路由器就会变成僵尸网络的一部分,僵尸网络的运营者就可以用受感染的设备发起DDOS攻击。

Yowai还使用了大量的漏洞利用来补充字典攻击,执行后会在用户的console上展示信息。分析发现Yowai还参考了一个竞争僵尸网络的kill列表。

Hakai和Yowai僵尸网络使用ThinkPHP漏洞进行传播

图1. Console display on a Yowai感染的设备的console显示

Hakai和Yowai僵尸网络使用ThinkPHP漏洞进行传播

表1. Yowai用于字典攻击的默认用户名和密码列表和参的竞争僵尸网络的kill列表

除了利用ThinkPHP漏洞外,研究人员发现Yowai样本还利用了CVE-2014-8361, a Linksys RCE, CVE-2018-10561, CCTV-DVR RCE等漏洞。

Hakai和Yowai僵尸网络使用ThinkPHP漏洞进行传播

图2. ThinkPHP漏洞

Hakai

Hakai 是Gafgyt的变种僵尸网络,Gafgyt之前就是感染IoT设备并依赖路由器的漏洞进行传播。研究人员捕获和分析的Hakai样本利用了一些系统中尚未修复的漏洞,并加入了ThinkPHP, D-Link DSL-2750B router vuln, CVE-2015-2051, CVE-2014-8361, CVE-2017-17215的漏洞利用来进行传播并执行不同类型的DDOS攻击。

Hakai和Yowai僵尸网络使用ThinkPHP漏洞进行传播

图3. Hakai扫描的有漏洞的路由器

Hakai和Yowai僵尸网络使用ThinkPHP漏洞进行传播

图4. ThinkPHP漏洞利用

有趣的是,研究人员发现Hakai样本中含有直接从Mirai复制的代码,尤其是用于加密配置表的函数。但研究人员发现这些函数并不是可操作的,因此研究人员怀疑用于telnet字典攻击的代码被移除了,以使Hakai变种更加静默。

因为Mirai变种会杀掉竞争的僵尸网络,这对Hakai变种避免攻击使用默认凭证的IoT设备来说是非常有利的。相比暴力破解,单独使用自我传播的漏洞利用方法很难检测。

Hakai和Yowai僵尸网络使用ThinkPHP漏洞进行传播

图5.部分代码来自于Mirai

Hakai和Yowai僵尸网络使用ThinkPHP漏洞进行传播

图6. Hakai样本没有使用从Mirai复制的代码

结论 

ThinkPHP是一个免费的开源PHP框架,因其简单易用,深受开发者和企业欢迎。网络犯罪分子滥用Hakai和Yowai可以很容易地入侵web服务器攻击网站。随着越来越多的僵尸网络代码出现在互联网上,研究人员猜测味蕾会有更多的代码相似的竞争僵尸网络出现。网络犯罪分子也会继续开发基于Mirai的僵尸网络,因为大多数的IoT设备使用还是默认凭证。

IoT设备用户应该更新设备到最新的发布版本来修复漏洞利用。用户也应该经常更换设备密码以应对对设备的非授权访问。


以上就是本文的全部内容,希望本文的内容对大家的学习或者工作能带来一定的帮助,也希望大家多多支持 码农网

查看所有标签

猜你喜欢:

本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们

数字化崇拜

数字化崇拜

[加] 文森特·莫斯可 / 黄典林 / 北京大学出版社 / 2010-1 / 26.00元

与此前的许多技术发展一样,以互联网为标志的数字化时代同样为人们提供了社会根本性变革的许诺:通过电脑,我们可以超越时空和政治。在本书中,文森特·莫斯可透过技术发展和经济泡沫的迷雾,试图探明围绕数字化新技术出现了哪些迷思,以及为何人们对这些迷思坚信不疑。他认为互联网时代投资者如此狂热的动因并不是他们对经济规则的无知,而是对赛博空间开启了一个新世界这样的迷思的坚定信念。 莫斯可指出,迷思并不是一些......一起来看看 《数字化崇拜》 这本书的介绍吧!

随机密码生成器
随机密码生成器

多种字符组合密码

RGB CMYK 转换工具
RGB CMYK 转换工具

RGB CMYK 互转工具