滥用ThinkPHP漏洞的僵尸网络Hakai和Yowai

栏目: PHP · 发布时间: 5年前

内容简介:网络犯罪分子正在利用一个在2018年12月被发现和已修补的ThinkPHP漏洞传播Yowai(Mirai变种)和Hakai(Gafgyt变种)两种僵尸网络病毒。网络犯罪分子利用字典攻击破坏使用PHP框架创建网站的Web服务器,并获得这些路由器的控制,以实现分布式拒绝服务攻击(DDoS)。Yowai(

前言

网络犯罪分子正在利用一个在2018年12月被发现和已修补的ThinkPHP漏洞传播Yowai(Mirai变种)和Hakai(Gafgyt变种)两种僵尸网络病毒。

网络犯罪分子利用字典攻击破坏使用 PHP 框架创建网站的Web服务器,并获得这些路由器的控制,以实现分布式拒绝服务攻击(DDoS)。

Yowai

Yowai( BACKDOOR.LINUX.YOWAI.A ,由趋势科技检测)具有与其他Mirai变体类似的配置表。其配置表使用相同的过程进行解密,并将ThinkPHP漏洞利用添加到感染列表中。

Yowai侦听端口6以接收来C&C服务器的命令。在感染路由器后,它会使用字典攻击来尝试感染其他设备。受影响的路由器现在成为僵尸网络的一部分,使其运营商能够使用受影响的设备发起DDoS攻击。

Yowai利用许多其他漏洞来补充字典攻击,它在执行后会在用户控制台上显示一条消息。分析发现它还包含一个竞争的僵尸网络列表,它将从系统中清除这些竞争的僵尸网络。

滥用ThinkPHP漏洞的僵尸网络Hakai和Yowai

字典攻击的用户名/密码 竞争僵尸网络名单
OxhlwSG8
defaulttlJwpbo6S2fGqNFsadmin
daemon
12345
guest
support
4321
root
vizxv
t0talc0ntr0l4!
bin
adm
synnet
dvrhelper, mirai, light, apex, Tsunami, hoho, nikki, miori, hybrid, sora, yakuza, kalon, owari, gemini, lessie, senpai, apollo, storm, Voltage, horizon, meraki, Cayosin, Mafia, Helios, Sentinel, Furasshu, love, oblivion, lzrd, yagi, dark, blade, messiah, qbot, modz, ethereal, unix, execution, galaxy, kwari, okane, osiris, naku, demon, sythe, xova, tsunami, trinity, BUSHIDO, IZ1H9, daddyl33t, KOWAI-SAD, ggtr, QBotBladeSPOOKY, SO190Ij1X, hellsgate, sysupdater, Katrina32

表1. Yowai用于字典攻击的默认用户名和密码列表以及从系统中删除竞争僵尸网络的列表

除了ThinkPHP漏洞,Yowai还利用了以下漏洞:CVE-2014-8361,a Linksys RCE,CVE-2018-10561,CCTV-DVR RCE。

滥用ThinkPHP漏洞的僵尸网络Hakai和Yowai

Hakai

Gafgytd变种Hakai( BACKDOOR.LINUX.HAKAI.AA ,由趋势科技检测)僵尸网络病毒感染物联网(IoT)设备并依赖路由器漏洞进行传播。

滥用ThinkPHP漏洞的僵尸网络Hakai和Yowai

滥用ThinkPHP漏洞的僵尸网络Hakai和Yowai

有趣的是,Hakai的样本包含从Mirai复制的代码,特别是用于加密其配置表的函数。但是,该函数无法运行,怀疑telnet字典攻击的代码是故意删除的,以使Hakai更加隐蔽。

由于Mirai的变种通常会杀死竞争僵尸网络,Hakai避免攻击使用默认密码的IoT设备从而更有生存的优势。与暴力破解telnet相比,单独利用漏洞传播的方法更难以检测。

滥用ThinkPHP漏洞的僵尸网络Hakai和Yowai

滥用ThinkPHP漏洞的僵尸网络Hakai和Yowai

结论

鉴于ThinkPHP是一个免费的开源PHP框架,因其简化的功能和易用性而受到开发人员和公司的欢迎,很容易被Hakai和Yowai这样的恶意程序滥用,进而破坏Web服务器和攻击网站。随着更多的僵尸网络代码可以在线获得和交换,可以预见相互竞争的僵尸网络具有相似的代码。

此外,网络犯罪分子会继续研究类似Mirai的僵尸网络,开发更多Mirai变种,并增加恶意软件的适应性,攻击越来越多的使用默认密码的IoT设备。物联网设备用户应将其设备固件更新到制造商发布的最新版本,修补漏洞。用户还应经常更新设备密码,以防止未经授权的登录。

*参考来源: trendmicro ,fengbin8606编译整理,转载请注明来自 FreeBuf.COM。


以上所述就是小编给大家介绍的《滥用ThinkPHP漏洞的僵尸网络Hakai和Yowai》,希望对大家有所帮助,如果大家有任何疑问请给我留言,小编会及时回复大家的。在此也非常感谢大家对 码农网 的支持!

查看所有标签

猜你喜欢:

本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们

Pro Git

Pro Git

Scott Chacon / Apress / 2009-8-27 / USD 34.99

Git is the version control system developed by Linus Torvalds for Linux kernel development. It took the open source world by storm since its inception in 2005, and is used by small development shops a......一起来看看 《Pro Git》 这本书的介绍吧!

RGB转16进制工具
RGB转16进制工具

RGB HEX 互转工具

HTML 编码/解码
HTML 编码/解码

HTML 编码/解码

RGB CMYK 转换工具
RGB CMYK 转换工具

RGB CMYK 互转工具