首页 > 安全 > 正文

敌人,一个新的DDoS僵尸网络出现在威胁景观中

最后更新 :2022.04.18

earmbot是一个DDOS僵尸网络,用于通过利用已知的漏洞来定位多个路由器和Web服务器。来自Fortinet的研究人员发现了一个新的DDOS僵尸网络,被追踪为earanebot,它通过利用已知来实现了多个路由器和Web服务器。漏洞。僵尸网络针对多个架构,包括ARM,BSD,X64和X86。

研究人员将僵尸网络归因于网络犯罪组Keksec,专注于基于DDOS的敲诈勒索。

在安装威胁时,机器人丢弃文件in  /tmp/.pwned,包含一个属于keksec的消息。在早期的样本中将该消息作为清晰文本存储,使用多字节键对具有XOR操作的消息释放新的样本。

专家指出,正在积极开发恶意软件。

敌人僵尸网络从Gafgyt Bot借用代码并重新使用来自i的一些代码nfamous  mirai botnet。  gafgyt 它是推出大规模DDOS攻击的热门选择,它首先出现在2014年的威胁景观中。

它使用了几种混淆方法来阻碍其弦乐来阻碍分析和隐藏自己的僵尸网络。此外,它连接到隐藏在Tor网络中的命令和控制(C2)服务器,使其抛售更加复杂。阅读Fortinet发布的分析。eAnterbot已被视为针对Seowon Intech,D-Link的路由器,并利用最近报告的IRZ路由器漏洞来感染更多设备。

僵尸网络实现多种混淆技术,以避免检测和隐藏在TOR网络上的C2。

敌人僵尸网络使用几种传播和定位其他物联网设备的方法。它使用硬编码用户名/密码组合列表,以尝试使用弱或默认凭据访问系统的设备。机器人也试图运行shELL命令感染错误配置的Android调试网桥端口(5555)。

恶意软件利用数十名已知漏洞,包括:

CVE-2020-17456漏洞影响Seowon Intech SLC-130和SLR-120S路由器; CVE-2018-10823探险较旧的D-Link路由器(DWR-116到1.06,DWR-512至2.02,DWR-712至2.02,DWR-912至2.02,DWR-921到2.02,DWR-111到1.01).cve-2022-27226影响Irz移动路由器;CVE-2022-25075至25084:目标TotOnInk路由器,以前由BeStMode Botnetcve-2021-44228 / 2021-45046:更好地称为log4j,我们的Fortinet Psirt Blogcve-2021-41773 / CVE-2021上有更多细节42013:目标Apache HTTP ServersCve-2018-20062:Targets Thinals ThinkPhp CMSCVE-2017-18368:Targets Zyxel P660HN Routerscve-2016-6277:Targets Netgear Routerscve-2015-2051:Targets D-Link Routerscve-2014-9118:Targets Zhone RoutersNetGear DGN1000漏洞利用(没有CVE分配):目标NETGEAR路由器

一旦利用上述漏洞,机器人运行shell命令以从C2使用命令&nbsp的URL下载shell脚本; ldserver。然后脚本下载用于目标设备的体系结构的实际敌人binary。

如果下载服务器关闭,僵尸网络运营商可以使用新的URL更新BOT客户端。

一旦机器人安装在设备上,它就会连接到其C2服务器,并等待进一步的命令

是支持的命令列表:

Enemybot



“基于Fortiguard Labs的分析,敌人是Keksec的绩效表演DDOS攻击的最新工具。Fortinet笔记。为了保护自己,它在其字符串上使用简单的混淆技术以及在Tor网络中托管其C2服务器,利用网络的匿名性。它使用了其他DDOS僵尸网络中的多种技术恶意软件感染其他设备。“ 请投票为安全事务作为最佳欧洲网络安全博主奖奖励2022投票给您的获奖者投票给我在弱者最好的个人(非商业)安全博客和Tech Whiz最好的技术博客和您选择的其他人。提名,请访问: https://docs.google.com/borms/d/e/1faipqlsfxxriscimz9qm9iipumqic-iom-npqmosfznjxrbqryjgcow/viewform

- END -

看更多