前言
网络犯罪分子正在利用一个在2018年12月被发现和已修补的ThinkPHP漏洞传播Yowai(Mirai变种)和Hakai(Gafgyt变种)两种僵尸网络病毒。
网络犯罪分子利用字典攻击破坏使用PHP框架创建网站的Web服务器,并获得这些路由器的控制,以实现分布式拒绝服务攻击(DDoS)。
Yowai
Yowai(BACKDOOR.LINUX.YOWAI.A,由趋势科技检测)具有与其他Mirai变体类似的配置表。其配置表使用相同的过程进行解密,并将ThinkPHP漏洞利用添加到感染列表中。
Yowai侦听端口6以接收来C&C服务器的命令。在感染路由器后,它会使用字典攻击来尝试感染其他设备。受影响的路由器现在成为僵尸网络的一部分,使其运营商能够使用受影响的设备发起DDoS攻击。
Yowai利用许多其他漏洞来补充字典攻击,它在执行后会在用户控制台上显示一条消息。分析发现它还包含一个竞争的僵尸网络列表,它将从系统中清除这些竞争的僵尸网络。
表1. Yowai用于字典攻击的默认用户名和密码列表以及从系统中删除竞争僵尸网络的列表
除了ThinkPHP漏洞,Yowai还利用了以下漏洞:CVE-2014-8361,a Linksys RCE,CVE-2018-10561,CCTV-DVR RCE。
Hakai
Gafgytd变种Hakai(BACKDOOR.LINUX.HAKAI.AA,由趋势科技检测)僵尸网络病毒感染物联网(IoT)设备并依赖路由器漏洞进行传播。
有趣的是,Hakai的样本包含从Mirai复制的代码,特别是用于加密其配置表的函数。但是,该函数无法运行,怀疑telnet字典攻击的代码是故意删除的,以使Hakai更加隐蔽。
由于Mirai的变种通常会杀死竞争僵尸网络,Hakai避免攻击使用默认密码的IoT设备从而更有生存的优势。与暴力破解telnet相比,单独利用漏洞传播的方法更难以检测。
结论
鉴于ThinkPHP是一个免费的开源PHP框架,因其简化的功能和易用性而受到开发人员和公司的欢迎,很容易被Hakai和Yowai这样的恶意程序滥用,进而破坏Web服务器和攻击网站。随着更多的僵尸网络代码可以在线获得和交换,可以预见相互竞争的僵尸网络具有相似的代码。
此外,网络犯罪分子会继续研究类似Mirai的僵尸网络,开发更多Mirai变种,并增加恶意软件的适应性,攻击越来越多的使用默认密码的IoT设备。物联网设备用户应将其设备固件更新到制造商发布的最新版本,修补漏洞。用户还应经常更新设备密码,以防止未经授权的登录。
*参考来源:trendmicro,fengbin8606编译整理,转载请注明来自 FreeBuf.COM。
更多资讯
◈ Firefox Monitor已经被集成到Firefox 主动向用户提醒账户被盗用
早在去年9月,我们就报道了Mozilla与Have I Been Pwned合作,让用户知道他们的帐户是否在数据泄露期间遭到入侵。当时该公司正在使用Have I Been Pwned并将其服务命名为“Firefox Monitor”。现在,Mozilla正在将该功能直接集成到Web浏览器中,因此您无需访问Firefox Monitor来检查您的帐户是否已被盗用。
来源:cnBeta.COM
详情:http://t.cn/EVHaeI1
◈ 旅客发现新加坡航空公司的信息娱乐系统配有嵌入式摄像头
信息娱乐系统在航班上变得越来越普遍,虽然并不是每个人都觉得它们非常有用。但是,如果您碰巧乘坐新加坡航空公司升级后的飞机之一,可能会担心这套系统会默默地盯着您。因为有旅客意外发现,这些新的机上娱乐系统默认配有摄像头,但该航空公司坚持认为它们是被默认禁用的。
来源:cnBeta.COM
详情:http://t.cn/EVHSiil
◈ 谷歌发布白皮书 详细介绍几大服务中如何打击虚假信息
上周末,谷歌在慕尼黑安全会议上发表了一份白皮书,详细介绍了它如何在其提供的各服务中打击虚假信息(Disinformation)的做法和经验,包括Google搜索、新闻和YouTube以及Google Ads平台中的实践。
来源:cnBeta.COM
详情:http://t.cn/EVHoqTX
(信息来源于网络,安华金和搜集整理)