botmaster构建了18,000台华为路由器的僵尸网络

  • A+
所属分类:网络安全新闻
腾讯云网站解决方案帮您轻松应对建站成本高/网络不稳定/安全漏洞多/单点部署无冗余等常见问题,满足电商/直播/教育等日均PV1-100万的网站部署需求。


成都、重庆区云产品3折特惠,全新机型计算提速,最高睿频可达3.7GHz
流行的Anarchy botmaster在几个小时内构建了一个拥有18,000台华为路由器的僵尸网络,并且还计划针对易受攻击的Realtek路由器。
NewSky Security首先报告了一个新的庞大僵尸网络,仅仅一天内,僵尸网络主机就破坏了超过18,000台华为路由器。
NewSky安全研究员Ankit Anubhav宣布僵尸网络已经感染了18,000台路由器。这个故事的令人不安的方面是,黑客在有限的时间内收集了大量的设备,没有使用任何零日问题。
今天,其他安全公司的专家报告了相同的僵尸网络,包括   奇虎360 Netlab ,Greynoise  和  Rapid7。
我们昨天跟踪这个僵尸网络,声称的18000多个华为路由器号码可能被夸大了,因为我们能够看到很可能存储被感染的ips的文件,总数是10901.附加的是图形的这个僵尸网络的C2大的。- 360 Netlab
botmaster构建了18,000台华为路由器的僵尸网络
botmaster利用华为HG532路由器中的CVE-2017-17215漏洞感染了系统  。专家们注意到,攻击者开始扫描这个漏洞,这个漏洞可以在7月18日通过37215端口触发。
无政府状态僵尸网络
botmaster是一名黑客,与绰号“无政府状态”上线,根据Anubhav,他之前被认定为Wicked  ,并参与了同名Mirai变种的诞生。
Fortinet的研究人员首先发现了Wicked Mirai僵尸网络,而Anubhav则在NewSky的博客上发表 了对黑客的采访。
邪恶/无政府状态被认为是其他Mirai变种背后的威胁演员,包括Omni和Owari(Sora)。
正如本文开头所解释的那样,Anarchy没有使用任何特定的漏洞来在几个小时内收集成千上万的设备。在  CVE-2017-17215是一个众所周知的漏洞,使用许多其他僵尸网络,其中包括未来开悟,收集僵尸。
华为家庭路由器中的CVE-2017-17215零日漏洞主要体现在TR-064技术报告标准(专为本地网络配置而设计)通过端口37215暴露给WAN(UPnP - 通用即插即用) )。
用于定位华为路由器的漏洞利用代码已公开发布,12月Ankit Anubhav在Pastebin.com上发现了它。
“NewSky Security观察到一位知名威胁演员今年圣诞节在Pastebin上免费发布华为漏洞CVE-2017-17215的工作代码。这个漏洞已经在两个不同的物联网僵尸网络攻击中被武器化,即Satori和Brickerbot。“
当时,被识别为“Nexus Zeta”的黑客使用CVE-2017-17215的漏洞利用代码来传播Satori僵尸程序(又名Okiku)。
在线代码的可用性代表了一个严重的风险,它可能成为地下犯罪的商品,vxers可以用它来构建他们的僵尸网络。
Satori并不是利用CVE-2017-17215漏洞利用代码的唯一僵尸网络,12 月初  ,Brickerbot僵尸网​​络的作者  与绰号“Janitor”上线发布了一个包含Brickerbot源代码片段的转储。
NewSky Security分析了代码并发现了漏洞代码CVE-2017-17215的使用,这意味着代码在地下可用了很长时间。
根据Bleeping Computer的说法,Anarchy告诉Anubhav,他还计划针对 Realtek路由器中的CVE-2014-8361漏洞,该  漏洞可通过端口52869进行攻击。
“现在已经开始对Realtek漏洞进行测试,”Anubhav 今天在一次私人谈话中告诉  Bleeping Computer 。[ 更新:Rapid7和Greynoise都  证实  Realtek的扫描今天已经通过屋顶。]
低于md5和与威胁相关的C&C:
攻击者Anarchy已经分享了一份受感染的受害者IP列表,在这一点上,由于显而易见的原因,我没有公开。他的僵尸网络中的垃圾箱md5>
c3cf80d13a04996b68d7d20eaf1baea8
可以看出,它只使用了1个漏洞,2017-17215
Ketashi僵尸网络
hxxp://104.244.72.82
hxxp://104.244.72.82/sister
hxxp://104.244.72.82/k
http://104.244.72.82/gpon
- SMII Mondher
CE安全网

发表评论

您必须登录才能发表评论!