近日,奇虎360网络实验室研究人员发现了一个新的僵尸网络——EwDoor,它利用了四年前的一个严重漏洞(编号:CVE??-2017-6079),对未打补丁的AT&T客户发起暴力攻击,导致近6000台设备在短短三个小时内受损。“2021年10月27日,我们的Botmon系统发现攻击者正在通过CVE-2017-6079攻击EdgewaterNetworks设备,在其有效负载中使用相对独特的挂载文件系统命令,这引起了我们的注意。根据分析,我们确认这是一个全新的僵尸网络,基于其针对Edgewater制造商的目标及其后门功能,我们将其命名为EwDoor。”奇虎360发布报告分析,EdgeMarc设备支持大流量VoIP和数据环境,弥补了运营服务商在企业网络服务方面的短板。互联网,这不可避免地增加了其被远程攻击的风险。在三个小时内发现了近6,000台受感染的设备,EwDoor在遇到主C2网络故障后重新配置其通信模型。在短短三个小时内,研究人员发现被感染的系统是AT&T使用的EdgeMarcEnterpriseSessionBorderController。专家们已经确定了5700个受感染的设备(IP)位于美国。”通过回查这些设备使用的SSL证书,我们发现有一个大约100,000个IP使用相同的SSL证书。我们不确定这些IP对应的设备有多少会被感染,但我们可以推测,由于它们属于同一类设备,因此可能的影响是真实的。”EwDoor的主要目的是DDoS攻击。研究发现,EwDoor历经三个版本更新,其主要功能可概括为DDoS攻击和Backdoor两大类,根据被攻击设备与电话通讯相关,研究人员推测EwDoor的主要目的是进行DDoS攻击攻击并收集敏感信息,例如通话记录。EwDoor支持六大功能(基本逻辑如下):自我更新、端口扫描、文件管理、DDoS攻击、反shell执行任意命令、EwDoor僵尸网络(360Netlab)为了避免分析安全专家,EwDoor采取了一系列的保护措施,比如使用TLS协议防止通信被拦截,加密敏感资源等。”修改ELF中的‘ABIFLAGS’PHT来对抗qemu-user和一些high-内核版本的linux沙箱。这是一种比较少见的反制,说明EwDoor的作者对Linux内核、QEMU和Edgewater设备非常熟悉。”研究报告提到。专家还在报告中提供了有关EwDoor僵尸网络的更多技术细节,并共享了该威胁的危害指标(IOC)。
