QQ登录

只需一步,快速开始

微信登录

扫一扫,访问微社区

聚优论坛

查看: 39|回复: 0

滥用ThinkPHP漏洞的僵尸网络Hakai和Yowai

[复制链接]
人走茶凉╮ 发表于 2019-2-20 10:01:01 | 显示全部楼层 |阅读模式

注册会员,学习更多最新技术!

您需要 登录 才可以下载或查看,没有帐号?点击注册

x

网络犯罪分子正在利用一个在2018年12月被发现和已修补的ThinkPHP漏洞传播Yowai(Mirai变种)和Hakai(Gafgyt变种)两种僵尸网络病毒。

网络犯罪分子利用字典攻击破坏使用PHP框架创建网站的Web服务器,并获得这些路由器的控制,以实现分布式拒绝服务攻击(DDoS)。

Yowai

Yowai(BACKDOOR.LINUX.YOWAI.A,由趋势科技检测)具有与其他Mirai变体类似的配置表。其配置表使用相同的过程进行解密,并将ThinkPHP漏洞利用添加到感染列表中。

Yowai侦听端口6以接收来C&C服务器的命令。在感染路由器后,它会使用字典攻击来尝试感染其他设备。受影响的路由器现在成为僵尸网络的一部分,使其运营商能够使用受影响的设备发起DDoS攻击。

Yowai利用许多其他漏洞来补充字典攻击,它在执行后会在用户控制台上显示一条消息。分析发现它还包含一个竞争的僵尸网络列表,它将从系统中清除这些竞争的僵尸网络。

字典攻击的用户名/密码
竞争僵尸网络名单

OxhlwSG8
                        defaulttlJwpbo6S2fGqNFsadmin
                        daemon
                        12345
                        guest
                        support
                        4321
                        root
                        vizxv
                        t0talc0ntr0l4!
                        bin
                        adm
                        synnetdvrhelper, mirai, light, apex, Tsunami, hoho, nikki, miori, hybrid, sora, yakuza, kalon, owari, gemini, lessie, senpai, apollo, storm, Voltage, horizon, meraki, Cayosin, Mafia, Helios, Sentinel, Furasshu, love, oblivion, lzrd, yagi, dark, blade, messiah, qbot, modz, ethereal, unix, execution, galaxy, kwari, okane, osiris, naku, demon, sythe, xova, tsunami, trinity, BUSHIDO, IZ1H9, daddyl33t, KOWAI-SAD, ggtr, QBotBladeSPOOKY, SO190Ij1X, hellsgate, sysupdater, Katrina32

表1. Yowai用于字典攻击的默认用户名和密码列表以及从系统中删除竞争僵尸网络的列表

除了ThinkPHP漏洞,Yowai还利用了以下漏洞:CVE-2014-8361,a Linksys RCE,CVE-2018-10561,CCTV-DVR RCE。

Hakai

Gafgytd变种Hakai(BACKDOOR.LINUX.HAKAI.AA,由趋势科技检测)僵尸网络病毒感染物联网(IoT)设备并依赖路由器漏洞进行传播。

有趣的是,Hakai的样本包含从Mirai复制的代码,特别是用于加密其配置表的函数。但是,该函数无法运行,怀疑telnet字典攻击的代码是故意删除的,以使Hakai更加隐蔽。

由于Mirai的变种通常会杀死竞争僵尸网络,Hakai避免攻击使用默认密码的IoT设备从而更有生存的优势。与暴力破解telnet相比,单独利用漏洞传播的方法更难以检测。

结论

鉴于ThinkPHP是一个免费的开源PHP框架,因其简化的功能和易用性而受到开发人员和公司的欢迎,很容易被Hakai和Yowai这样的恶意程序滥用,进而破坏Web服务器和攻击网站。随着更多的僵尸网络代码可以在线获得和交换,可以预见相互竞争的僵尸网络具有相似的代码。

此外,网络犯罪分子会继续研究类似Mirai的僵尸网络,开发更多Mirai变种,并增加恶意软件的适应性,攻击越来越多的使用默认密码的IoT设备。物联网设备用户应将其设备固件更新到制造商发布的最新版本,修补漏洞。用户还应经常更新设备密码,以防止未经授权的登录。


回复

使用道具 举报

*滑动验证:
您需要登录后才可以回帖 登录 | 点击注册

本版积分规则

QQ|手机版|小黑屋|Archiver| 聚优论坛 ( 鄂ICP备16013399号-1 )

GMT+8, 2019-3-20 19:47 , Processed in 0.075618 second(s), 23 queries , Gzip On.

Powered by 聚优论坛

© 2010-2019

快速回复 返回顶部 返回列表