最近,奇虎360 Netlab研究人员发现了一个新的僵尸网络—— EwDoor,僵尸网络利用四年前的一个严重漏洞(编号)CVE-2017-6079),对未打补丁的AT&T客户发起猛烈攻击,仅三个小时就损坏了近6000台设备。
“202110月27日,我们的 Botmon通过 系统发现攻击者CVE-2017-6079 攻击 Edgewater Networks 设备在其有效载荷下使用了相对独特的挂载文件系统命令,引起了我们的注意。经过分析,我们确认这是一个新的僵尸网络,基于 Edgewater 制造商及其后门功能,我们将其命名为 EwDoor。” 奇虎360发布报告分析。
EdgeMarc 设备支持高容量 VoIP 和数据环境弥补了企业网络服务运营服务提供商的缺陷。但与此同时,这也要求设备公开暴露在 Internet 不可避免地增加了其远程攻击的风险。
3小时内发现近6000台受损设备
研究人员注册备份命令并控制 (C2) 域,监控受感染设备的要求,以确定僵尸网络的规模。不幸的是,在遇到主 时C2 网络故障后, 网络故障后,EwDoor 重新配置其通信模型。
在短短三个小时内,研究人员发现感染系统是 AT&T 使用的EdgeMarc Enterprise Session Border Controller。专家们已经确定了美国5700台感染设备(IP)。
“通过回顾这些设备使用的 SSl 证书,我们发现大约有10万 IP 使用相同的 SSl 证书IP 相应的设备有多少可能被感染,但我们可以推测,可能的影响是真实的,因为它们属于同一类设备。”
EwDoor主要目的是 DDoS 攻击
研究发现,EwDoor已经更新了三个版本,其主要功能可以概括为DDoS攻击和Backdoor两类。研究人员基于被攻击设备和电话通信的推测EwDoor主要目的是 DDoS 攻击,收集通话记录等敏感信息。
EwDoor支持六大功能(基本逻辑如下):
- 自我更新
- 端口扫描
- 文件管理
- DDoS 攻击
- 反壳
- 执行任何命令
EwDoor 僵尸网络 (360 )Netlab)
为避免安全专家的分析,EwDoor采取了一系列保护措施,如使用TLS协议防止通信被拦截、敏感资源加密等。“修改ELF中的'ABIFLAGS'PHT以对抗qemu-user还有一些高内核版本linux沙箱。这是一个罕见的对策,说明EwDoor的作者对Linux内核、QEMU、Edgewater熟悉设备。”研究报告提到。
专家还在报告中提供了 EwDoor 僵尸网络的其他技术细节分享了这一威胁的入侵指标 (IOC)。