[[437908]]

近期，奇虎360 Netlab研究人員發(fā)現(xiàn)一個新的僵尸網(wǎng)絡—— EwDoor，該僵尸網(wǎng)絡利用四年前的一個嚴重漏洞(編號CVE-2017-6079)，針對未打補丁的AT&T客戶發(fā)起猛烈攻擊，僅三個小時，就導致將近6000臺設備受損。

“2021年10月27日，我們的 Botmon 系統(tǒng)發(fā)現(xiàn)攻擊者通過 CVE-2017-6079 攻擊 Edgewater Networks 的設備，在其有效載荷中使用相對獨特的掛載文件系統(tǒng)命令，這引起了我們的注意，經(jīng)過分析，我們確認這是一個全新的僵尸網(wǎng)絡，基于它針對 Edgewater 生產(chǎn)商及其后門功能，我們將其命名為 EwDoor。” 奇虎360發(fā)布報告分析。

EdgeMarc 設備支持高容量 VoIP 和數(shù)據(jù)環(huán)境，彌補了運營服務提供商在企業(yè)網(wǎng)絡服務上的缺陷。但同時，這也要求設備需公開暴露在 Internet 上，無可避免地增加了其受遠程攻擊的風險。

三小時內(nèi)發(fā)現(xiàn)近6000臺受損設備

研究人員通過注冊其備份命令和控制 (C2) 域，監(jiān)控從受感染設備發(fā)出的請求，以確定僵尸網(wǎng)絡的規(guī)模。不幸的是，在遇到主 C2 網(wǎng)絡故障后，EwDoor 重新配置了其通信模型。

在短短三小時內(nèi)，研究人員發(fā)現(xiàn)受感染的系統(tǒng)是 AT&T 使用的EdgeMarc Enterprise Session Border Controller。并且專家已經(jīng)確定了位于美國的5700臺受感染設備(IP)。

“通過回查這些設備使用的 SSl 證書，我們發(fā)現(xiàn)大約有 10 萬個 IP 使用相同的 SSl 證書。我們不確定與這些 IP 對應的設備有多少可能被感染，但我們可以推測，由于它們屬于同一類設備，因此可能的影響是真實的。”

EwDoor主要目的是 DDoS 攻擊

研究發(fā)現(xiàn)，EwDoor已經(jīng)經(jīng)歷了3個版本的更新，其主要功能可以概括為DDoS攻擊和Backdoor兩大類?；诒还粼O備與電話通信相關，研究人員推測EwDoor主要目的是 DDoS 攻擊，以及收集通話記錄等敏感信息。

EwDoor支持六大功能(基本邏輯如下所示)：

• 自我更新
• 端口掃描
• 文件管理
• DDoS 攻擊
• 反殼
• 執(zhí)行任意命令

EwDoor 僵尸網(wǎng)絡 (360 Netlab)

為了躲避安全專家的分析，EwDoor竟采取了一系列保護措施，例如使用TLS協(xié)議防止通信被攔截，敏感資源加密等。“修改ELF中的'ABIFLAGS'PHT以對抗qemu-user和一些高內(nèi)核版本的linux沙箱。這是一個比較少見的對策，說明EwDoor的作者對Linux內(nèi)核、QEMU、Edgewater設備非常熟悉。”研究報告提到。

專家還在報告中提供了有關 EwDoor 僵尸網(wǎng)絡的其他技術細節(jié)，并分享了針對此威脅的入侵指標 (IOC)。