滥用ThinkPHP漏洞的僵尸网络Hakai和Yowai

栏目: PHP · 发布时间: 5年前

内容简介:网络犯罪分子正在利用一个在2018年12月被发现和已修补的ThinkPHP漏洞传播Yowai(Mirai变种)和Hakai(Gafgyt变种)两种僵尸网络病毒。网络犯罪分子利用字典攻击破坏使用PHP框架创建网站的Web服务器,并获得这些路由器的控制,以实现分布式拒绝服务攻击(DDoS)。Yowai(

前言

网络犯罪分子正在利用一个在2018年12月被发现和已修补的ThinkPHP漏洞传播Yowai(Mirai变种)和Hakai(Gafgyt变种)两种僵尸网络病毒。

网络犯罪分子利用字典攻击破坏使用 PHP 框架创建网站的Web服务器,并获得这些路由器的控制,以实现分布式拒绝服务攻击(DDoS)。

Yowai

Yowai( BACKDOOR.LINUX.YOWAI.A ,由趋势科技检测)具有与其他Mirai变体类似的配置表。其配置表使用相同的过程进行解密,并将ThinkPHP漏洞利用添加到感染列表中。

Yowai侦听端口6以接收来C&C服务器的命令。在感染路由器后,它会使用字典攻击来尝试感染其他设备。受影响的路由器现在成为僵尸网络的一部分,使其运营商能够使用受影响的设备发起DDoS攻击。

Yowai利用许多其他漏洞来补充字典攻击,它在执行后会在用户控制台上显示一条消息。分析发现它还包含一个竞争的僵尸网络列表,它将从系统中清除这些竞争的僵尸网络。

滥用ThinkPHP漏洞的僵尸网络Hakai和Yowai

字典攻击的用户名/密码 竞争僵尸网络名单
OxhlwSG8
defaulttlJwpbo6S2fGqNFsadmin
daemon
12345
guest
support
4321
root
vizxv
t0talc0ntr0l4!
bin
adm
synnet
dvrhelper, mirai, light, apex, Tsunami, hoho, nikki, miori, hybrid, sora, yakuza, kalon, owari, gemini, lessie, senpai, apollo, storm, Voltage, horizon, meraki, Cayosin, Mafia, Helios, Sentinel, Furasshu, love, oblivion, lzrd, yagi, dark, blade, messiah, qbot, modz, ethereal, unix, execution, galaxy, kwari, okane, osiris, naku, demon, sythe, xova, tsunami, trinity, BUSHIDO, IZ1H9, daddyl33t, KOWAI-SAD, ggtr, QBotBladeSPOOKY, SO190Ij1X, hellsgate, sysupdater, Katrina32

表1. Yowai用于字典攻击的默认用户名和密码列表以及从系统中删除竞争僵尸网络的列表

除了ThinkPHP漏洞,Yowai还利用了以下漏洞:CVE-2014-8361,a Linksys RCE,CVE-2018-10561,CCTV-DVR RCE。

滥用ThinkPHP漏洞的僵尸网络Hakai和Yowai

Hakai

Gafgytd变种Hakai( BACKDOOR.LINUX.HAKAI.AA ,由趋势科技检测)僵尸网络病毒感染物联网(IoT)设备并依赖路由器漏洞进行传播。

滥用ThinkPHP漏洞的僵尸网络Hakai和Yowai

滥用ThinkPHP漏洞的僵尸网络Hakai和Yowai

有趣的是,Hakai的样本包含从Mirai复制的代码,特别是用于加密其配置表的函数。但是,该函数无法运行,怀疑telnet字典攻击的代码是故意删除的,以使Hakai更加隐蔽。

由于Mirai的变种通常会杀死竞争僵尸网络,Hakai避免攻击使用默认密码的IoT设备从而更有生存的优势。与暴力破解telnet相比,单独利用漏洞传播的方法更难以检测。

滥用ThinkPHP漏洞的僵尸网络Hakai和Yowai

滥用ThinkPHP漏洞的僵尸网络Hakai和Yowai

结论

鉴于ThinkPHP是一个免费的开源PHP框架,因其简化的功能和易用性而受到开发人员和公司的欢迎,很容易被Hakai和Yowai这样的恶意程序滥用,进而破坏Web服务器和攻击网站。随着更多的僵尸网络代码可以在线获得和交换,可以预见相互竞争的僵尸网络具有相似的代码。

此外,网络犯罪分子会继续研究类似Mirai的僵尸网络,开发更多Mirai变种,并增加恶意软件的适应性,攻击越来越多的使用默认密码的IoT设备。物联网设备用户应将其设备固件更新到制造商发布的最新版本,修补漏洞。用户还应经常更新设备密码,以防止未经授权的登录。

*参考来源: trendmicro ,fengbin8606编译整理,转载请注明来自 FreeBuf.COM。


以上所述就是小编给大家介绍的《滥用ThinkPHP漏洞的僵尸网络Hakai和Yowai》,希望对大家有所帮助,如果大家有任何疑问请给我留言,小编会及时回复大家的。在此也非常感谢大家对 码农网 的支持!

查看所有标签

猜你喜欢:

本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们

Computers and Intractability

Computers and Intractability

M R Garey、D S Johnson / W. H. Freeman / 1979-4-26 / GBP 53.99

This book's introduction features a humorous story of a man with a line of people behind him, who explains to his boss, "I can't find an efficient algorithm, but neither can all these famous people." ......一起来看看 《Computers and Intractability》 这本书的介绍吧!

JSON 在线解析
JSON 在线解析

在线 JSON 格式化工具

在线进制转换器
在线进制转换器

各进制数互转换器

正则表达式在线测试
正则表达式在线测试

正则表达式在线测试