内容简介:近日研究人员发现网络犯罪分子开始利用一个2018年12月修复的ThinkPHP漏洞来进行僵尸网络的传播,传播的这两个僵尸网络是Mirai的变种Yowai和Gafgyt的变种Hakai。攻击者通过默认凭证字典攻击的方法来攻击使用该PHP框架创建的web站点,并获取这些路由器的控制权来发起DDOS攻击。研究人员发现这两个恶意软件类型导致1月11日到17日攻击和感染数据攀升。研究人员分析发现Yowai有一个与其他Mirai变种类似的配置表。配置表也是用相同的步骤来解密,并在感染入口向量中加入了其他已知的Think
近日研究人员发现网络犯罪分子开始利用一个2018年12月修复的ThinkPHP漏洞来进行僵尸网络的传播,传播的这两个僵尸网络是Mirai的变种Yowai和Gafgyt的变种Hakai。攻击者通过默认凭证字典攻击的方法来攻击使用该 PHP 框架创建的web站点,并获取这些路由器的控制权来发起DDOS攻击。研究人员发现这两个恶意软件类型导致1月11日到17日攻击和感染数据攀升。
Yowai
研究人员分析发现Yowai有一个与其他Mirai变种类似的配置表。配置表也是用相同的步骤来解密,并在感染入口向量中加入了其他已知的ThinkPHP漏洞利用。
Yowai会监听端口6来接收来自C2服务器的命令。在感染路由器后,会用字典攻击来尝试感染其他设备。受感染的路由器就会变成僵尸网络的一部分,僵尸网络的运营者就可以用受感染的设备发起DDOS攻击。
Yowai还使用了大量的漏洞利用来补充字典攻击,执行后会在用户的console上展示信息。分析发现Yowai还参考了一个竞争僵尸网络的kill列表。
图1. Console display on a Yowai感染的设备的console显示
表1. Yowai用于字典攻击的默认用户名和密码列表和参的竞争僵尸网络的kill列表
除了利用ThinkPHP漏洞外,研究人员发现Yowai样本还利用了CVE-2014-8361, a Linksys RCE, CVE-2018-10561, CCTV-DVR RCE等漏洞。
图2. ThinkPHP漏洞
Hakai
Hakai 是Gafgyt的变种僵尸网络,Gafgyt之前就是感染IoT设备并依赖路由器的漏洞进行传播。研究人员捕获和分析的Hakai样本利用了一些系统中尚未修复的漏洞,并加入了ThinkPHP, D-Link DSL-2750B router vuln, CVE-2015-2051, CVE-2014-8361, CVE-2017-17215的漏洞利用来进行传播并执行不同类型的DDOS攻击。
图3. Hakai扫描的有漏洞的路由器
图4. ThinkPHP漏洞利用
有趣的是,研究人员发现Hakai样本中含有直接从Mirai复制的代码,尤其是用于加密配置表的函数。但研究人员发现这些函数并不是可操作的,因此研究人员怀疑用于telnet字典攻击的代码被移除了,以使Hakai变种更加静默。
因为Mirai变种会杀掉竞争的僵尸网络,这对Hakai变种避免攻击使用默认凭证的IoT设备来说是非常有利的。相比暴力破解,单独使用自我传播的漏洞利用方法很难检测。
图5.部分代码来自于Mirai
图6. Hakai样本没有使用从Mirai复制的代码
结论
ThinkPHP是一个免费的开源PHP框架,因其简单易用,深受开发者和企业欢迎。网络犯罪分子滥用Hakai和Yowai可以很容易地入侵web服务器攻击网站。随着越来越多的僵尸网络代码出现在互联网上,研究人员猜测味蕾会有更多的代码相似的竞争僵尸网络出现。网络犯罪分子也会继续开发基于Mirai的僵尸网络,因为大多数的IoT设备使用还是默认凭证。
IoT设备用户应该更新设备到最新的发布版本来修复漏洞利用。用户也应该经常更换设备密码以应对对设备的非授权访问。
以上就是本文的全部内容,希望本文的内容对大家的学习或者工作能带来一定的帮助,也希望大家多多支持 码农网
猜你喜欢:- 僵尸网络正积极利用 Drupal 漏洞进行蠕虫式传播
- 滥用ThinkPHP漏洞的僵尸网络Hakai和Yowai
- 利用Drupal漏洞进行传播的挖矿僵尸病毒分析
- OrkSec: 利用20多种漏洞进行传播的Mirai新型变种僵尸网络
- Mirai变成Miori:IoT僵尸网络通过ThinkPHP远程代码执行漏洞传播
- 什么是僵尸进程,如何找到并杀掉僵尸进程?
本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们。