歡迎光臨
每天分享高質量文章

【每日安全資訊】濫用 ThinkPHP 漏洞的僵屍網絡 Hakai 和 Yowai

前言

網絡犯罪分子正在利用一個在2018年12月被髮現和已修補的ThinkPHP漏洞傳播Yowai(Mirai變種)和Hakai(Gafgyt變種)兩種僵屍網絡病毒。

網絡犯罪分子利用字典攻擊破壞使用PHP框架創建網站的Web服務器,並獲得這些路由器的控制,以實現分佈式拒絕服務攻擊(DDoS)。

Yowai

Yowai(BACKDOOR.LINUX.YOWAI.A,由趨勢科技檢測)具有與其他Mirai變體類似的配置表。其配置表使用相同的過程進行解密,並將ThinkPHP漏洞利用添加到感染串列中。

Yowai偵聽端口6以接收來C&C服務器的命令。在感染路由器後,它會使用字典攻擊來嘗試感染其他設備。受影響的路由器現在成為僵屍網絡的一部分,使其運營商能夠使用受影響的設備發起DDoS攻擊。

Yowai利用許多其他漏洞來補充字典攻擊,它在執行後會在用戶控制臺上顯示一條訊息。分析發現它還包含一個競爭的僵屍網絡串列,它將從系統中清除這些競爭的僵屍網絡。

表1. Yowai用於字典攻擊的預設用戶名和密碼串列以及從系統中刪除競爭僵屍網絡的串列 

除了ThinkPHP漏洞,Yowai還利用了以下漏洞:CVE-2014-8361,a Linksys RCE,CVE-2018-10561,CCTV-DVR RCE。

Hakai

Gafgytd變種Hakai(BACKDOOR.LINUX.HAKAI.AA,由趨勢科技檢測)僵屍網絡病毒感染物聯網(IoT)設備並依賴路由器漏洞進行傳播。

有趣的是,Hakai的樣本包含從Mirai複製的代碼,特別是用於加密其配置表的函式。但是,該函式無法運行,懷疑telnet字典攻擊的代碼是故意刪除的,以使Hakai更加隱蔽。

由於Mirai的變種通常會殺死競爭僵屍網絡,Hakai避免攻擊使用預設密碼的IoT設備從而更有生存的優勢。與暴力破解telnet相比,單獨利用漏洞傳播的方法更難以檢測。

結論

鑒於ThinkPHP是一個免費的開源PHP框架,因其簡化的功能和易用性而受到開發人員和公司的歡迎,很容易被Hakai和Yowai這樣的惡意程式濫用,進而破壞Web服務器和攻擊網站。隨著更多的僵屍網絡代碼可以在線獲得和交換,可以預見相互競爭的僵屍網絡具有相似的代碼。

此外,網絡犯罪分子會繼續研究類似Mirai的僵屍網絡,開發更多Mirai變種,並增加惡意軟體的適應性,攻擊越來越多的使用預設密碼的IoT設備。物聯網設備用戶應將其設備韌體更新到製造商發佈的最新版本,修補漏洞。用戶還應經常更新設備密碼,以防止未經授權的登錄。

*參考來源:trendmicro,fengbin8606編譯整理,轉載請註明來自 FreeBuf.COM。

更多資訊

 

◈ Firefox Monitor已經被集成到Firefox 主動向用戶提醒賬戶被盜用

早在去年9月,我們就報道了Mozilla與Have I Been Pwned合作,讓用戶知道他們的帳戶是否在資料泄露期間遭到入侵。當時該公司正在使用Have I Been Pwned並將其服務命名為“Firefox Monitor”。現在,Mozilla正在將該功能直接集成到Web瀏覽器中,因此您無需訪問Firefox Monitor來檢查您的帳戶是否已被盜用。

來源:cnBeta.COM
詳情:http://t.cn/EVHaeI1

◈ 旅客發現新加坡航空公司的信息娛樂系統配有嵌入式攝像頭
信息娛樂系統在航班上變得越來越普遍,雖然並不是每個人都覺得它們非常有用。但是,如果您碰巧乘坐新加坡航空公司升級後的飛機之一,可能會擔心這套系統會默默地盯著您。因為有旅客意外發現,這些新的機上娛樂系統預設配有攝像頭,但該航空公司堅持認為它們是被預設禁用的。

來源:cnBeta.COM
詳情:http://t.cn/EVHSiil

◈ 谷歌發佈白皮書 詳細介紹幾大服務中如何打擊虛假信息

上周末,谷歌在慕尼黑安全會議上發表了一份白皮書,詳細介紹了它如何在其提供的各服務中打擊虛假信息(Disinformation)的做法和經驗,包括Google搜索、新聞和YouTube以及Google Ads平臺中的實踐。

來源:cnBeta.COM
詳情:http://t.cn/EVHoqTX

 

(信息來源於網絡,安華金和搜集整理)

 

    赞(0)

    分享創造快樂