Hakai和Yowai僵尸网络使用ThinkPHP漏洞进行传播

栏目: PHP · 发布时间: 6年前

内容简介:近日研究人员发现网络犯罪分子开始利用一个2018年12月修复的ThinkPHP漏洞来进行僵尸网络的传播,传播的这两个僵尸网络是Mirai的变种Yowai和Gafgyt的变种Hakai。攻击者通过默认凭证字典攻击的方法来攻击使用该PHP框架创建的web站点,并获取这些路由器的控制权来发起DDOS攻击。研究人员发现这两个恶意软件类型导致1月11日到17日攻击和感染数据攀升。研究人员分析发现Yowai有一个与其他Mirai变种类似的配置表。配置表也是用相同的步骤来解密,并在感染入口向量中加入了其他已知的Think

近日研究人员发现网络犯罪分子开始利用一个2018年12月修复的ThinkPHP漏洞来进行僵尸网络的传播,传播的这两个僵尸网络是Mirai的变种Yowai和Gafgyt的变种Hakai。攻击者通过默认凭证字典攻击的方法来攻击使用该 PHP 框架创建的web站点,并获取这些路由器的控制权来发起DDOS攻击。研究人员发现这两个恶意软件类型导致1月11日到17日攻击和感染数据攀升。

Yowai

研究人员分析发现Yowai有一个与其他Mirai变种类似的配置表。配置表也是用相同的步骤来解密,并在感染入口向量中加入了其他已知的ThinkPHP漏洞利用。

Yowai会监听端口6来接收来自C2服务器的命令。在感染路由器后,会用字典攻击来尝试感染其他设备。受感染的路由器就会变成僵尸网络的一部分,僵尸网络的运营者就可以用受感染的设备发起DDOS攻击。

Yowai还使用了大量的漏洞利用来补充字典攻击,执行后会在用户的console上展示信息。分析发现Yowai还参考了一个竞争僵尸网络的kill列表。

Hakai和Yowai僵尸网络使用ThinkPHP漏洞进行传播

图1. Console display on a Yowai感染的设备的console显示

Hakai和Yowai僵尸网络使用ThinkPHP漏洞进行传播

表1. Yowai用于字典攻击的默认用户名和密码列表和参的竞争僵尸网络的kill列表

除了利用ThinkPHP漏洞外,研究人员发现Yowai样本还利用了CVE-2014-8361, a Linksys RCE, CVE-2018-10561, CCTV-DVR RCE等漏洞。

Hakai和Yowai僵尸网络使用ThinkPHP漏洞进行传播

图2. ThinkPHP漏洞

Hakai

Hakai 是Gafgyt的变种僵尸网络,Gafgyt之前就是感染IoT设备并依赖路由器的漏洞进行传播。研究人员捕获和分析的Hakai样本利用了一些系统中尚未修复的漏洞,并加入了ThinkPHP, D-Link DSL-2750B router vuln, CVE-2015-2051, CVE-2014-8361, CVE-2017-17215的漏洞利用来进行传播并执行不同类型的DDOS攻击。

Hakai和Yowai僵尸网络使用ThinkPHP漏洞进行传播

图3. Hakai扫描的有漏洞的路由器

Hakai和Yowai僵尸网络使用ThinkPHP漏洞进行传播

图4. ThinkPHP漏洞利用

有趣的是,研究人员发现Hakai样本中含有直接从Mirai复制的代码,尤其是用于加密配置表的函数。但研究人员发现这些函数并不是可操作的,因此研究人员怀疑用于telnet字典攻击的代码被移除了,以使Hakai变种更加静默。

因为Mirai变种会杀掉竞争的僵尸网络,这对Hakai变种避免攻击使用默认凭证的IoT设备来说是非常有利的。相比暴力破解,单独使用自我传播的漏洞利用方法很难检测。

Hakai和Yowai僵尸网络使用ThinkPHP漏洞进行传播

图5.部分代码来自于Mirai

Hakai和Yowai僵尸网络使用ThinkPHP漏洞进行传播

图6. Hakai样本没有使用从Mirai复制的代码

结论 

ThinkPHP是一个免费的开源PHP框架,因其简单易用,深受开发者和企业欢迎。网络犯罪分子滥用Hakai和Yowai可以很容易地入侵web服务器攻击网站。随着越来越多的僵尸网络代码出现在互联网上,研究人员猜测味蕾会有更多的代码相似的竞争僵尸网络出现。网络犯罪分子也会继续开发基于Mirai的僵尸网络,因为大多数的IoT设备使用还是默认凭证。

IoT设备用户应该更新设备到最新的发布版本来修复漏洞利用。用户也应该经常更换设备密码以应对对设备的非授权访问。


以上就是本文的全部内容,希望本文的内容对大家的学习或者工作能带来一定的帮助,也希望大家多多支持 码农网

查看所有标签

猜你喜欢:

本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们

阿里铁军

阿里铁军

宋金波、韩福东 / 中信出版集团 / 2017-7 / 58

【编辑推荐】 互联网地推天团,马云口中的中国电商“黄埔军校”,是如何铸造的? 超强执行力来自何处,价值观如何创造万亿价值?阿里铁军的团队建设、销售技巧、文化与价值观的创建与传播,深度剖析与分享。 阿里铁军,不仅走出过阿里巴巴集团的诸多高管,彭蕾、戴姗、蒋芳、孙彤宇、蔡崇信……,还走出过互联网江湖中的众多显赫人物,国内O2O战场,一度成为“铁军内战”:程维(滴滴打车创始人兼CEO)......一起来看看 《阿里铁军》 这本书的介绍吧!

HTML 压缩/解压工具
HTML 压缩/解压工具

在线压缩/解压 HTML 代码

图片转BASE64编码
图片转BASE64编码

在线图片转Base64编码工具

RGB CMYK 转换工具
RGB CMYK 转换工具

RGB CMYK 互转工具