[[437908]]

近期，奇虎360 Netlab研究人員發(fā)現(xiàn)一個(gè)新的僵尸網(wǎng)絡(luò)—— EwDoor，該僵尸網(wǎng)絡(luò)利用四年前的一個(gè)嚴(yán)重漏洞(編號(hào)CVE-2017-6079)，針對(duì)未打補(bǔ)丁的AT&T客戶發(fā)起猛烈攻擊，僅三個(gè)小時(shí)，就導(dǎo)致將近6000臺(tái)設(shè)備受損。

“2021年10月27日，我們的 Botmon 系統(tǒng)發(fā)現(xiàn)攻擊者通過(guò) CVE-2017-6079 攻擊 Edgewater Networks 的設(shè)備，在其有效載荷中使用相對(duì)獨(dú)特的掛載文件系統(tǒng)命令，這引起了我們的注意，經(jīng)過(guò)分析，我們確認(rèn)這是一個(gè)全新的僵尸網(wǎng)絡(luò)，基于它針對(duì) Edgewater 生產(chǎn)商及其后門功能，我們將其命名為 EwDoor。” 奇虎360發(fā)布報(bào)告分析。

EdgeMarc 設(shè)備支持高容量 VoIP 和數(shù)據(jù)環(huán)境，彌補(bǔ)了運(yùn)營(yíng)服務(wù)提供商在企業(yè)網(wǎng)絡(luò)服務(wù)上的缺陷。但同時(shí)，這也要求設(shè)備需公開暴露在 Internet 上，無(wú)可避免地增加了其受遠(yuǎn)程攻擊的風(fēng)險(xiǎn)。

三小時(shí)內(nèi)發(fā)現(xiàn)近6000臺(tái)受損設(shè)備

研究人員通過(guò)注冊(cè)其備份命令和控制 (C2) 域，監(jiān)控從受感染設(shè)備發(fā)出的請(qǐng)求，以確定僵尸網(wǎng)絡(luò)的規(guī)模。不幸的是，在遇到主 C2 網(wǎng)絡(luò)故障后，EwDoor 重新配置了其通信模型。

在短短三小時(shí)內(nèi)，研究人員發(fā)現(xiàn)受感染的系統(tǒng)是 AT&T 使用的EdgeMarc Enterprise Session Border Controller。并且專家已經(jīng)確定了位于美國(guó)的5700臺(tái)受感染設(shè)備(IP)。

“通過(guò)回查這些設(shè)備使用的 SSl 證書，我們發(fā)現(xiàn)大約有 10 萬(wàn)個(gè) IP 使用相同的 SSl 證書。我們不確定與這些 IP 對(duì)應(yīng)的設(shè)備有多少可能被感染，但我們可以推測(cè)，由于它們屬于同一類設(shè)備，因此可能的影響是真實(shí)的。”

EwDoor主要目的是 DDoS 攻擊

研究發(fā)現(xiàn)，EwDoor已經(jīng)經(jīng)歷了3個(gè)版本的更新，其主要功能可以概括為DDoS攻擊和Backdoor兩大類。基于被攻擊設(shè)備與電話通信相關(guān)，研究人員推測(cè)EwDoor主要目的是 DDoS 攻擊，以及收集通話記錄等敏感信息。

EwDoor支持六大功能(基本邏輯如下所示)：

• 自我更新
• 端口掃描
• 文件管理
• DDoS 攻擊
• 反殼
• 執(zhí)行任意命令

EwDoor 僵尸網(wǎng)絡(luò) (360 Netlab)

為了躲避安全專家的分析，EwDoor竟采取了一系列保護(hù)措施，例如使用TLS協(xié)議防止通信被攔截，敏感資源加密等。“修改ELF中的'ABIFLAGS'PHT以對(duì)抗qemu-user和一些高內(nèi)核版本的linux沙箱。這是一個(gè)比較少見的對(duì)策，說(shuō)明EwDoor的作者對(duì)Linux內(nèi)核、QEMU、Edgewater設(shè)備非常熟悉。”研究報(bào)告提到。

專家還在報(bào)告中提供了有關(guān) EwDoor 僵尸網(wǎng)絡(luò)的其他技術(shù)細(xì)節(jié)，并分享了針對(duì)此威脅的入侵指標(biāo) (IOC)。