botmaster构建了18,000台华为路由器的僵尸网络

时间：2018-07-22 00:00:00人气：次作者：本站作者我要评论

流行的Anarchy botmaster在几个小时内构建了一个拥有18,000台华为路由器的僵尸网络，并且还计划针对易受攻击的Realtek路由器。

NewSky Security首先报告了一个新的庞大僵尸网络，仅仅一天内，僵尸网络主机就破坏了超过18,000台华为路由器。

NewSky安全研究员Ankit Anubhav宣布僵尸网络已经感染了18,000台路由器。这个故事的令人不安的方面是，黑客在有限的时间内收集了大量的设备，没有使用任何零日问题。

今天，其他安全公司的专家报告了相同的僵尸网络，包括奇虎360 Netlab ，Greynoise 和 Rapid7。

我们昨天跟踪这个僵尸网络，声称的18000多个华为路由器号码可能被夸大了，因为我们能够看到很可能存储被感染的ips的文件，总数是10901.附加的是图形的这个僵尸网络的C2大的。- 360 Netlab

botmaster利用华为HG532路由器中的CVE-2017-17215漏洞感染了系统。专家们注意到，攻击者开始扫描这个漏洞，这个漏洞可以在7月18日通过37215端口触发。

无政府状态僵尸网络

botmaster是一名黑客，与绰号“无政府状态”上线，根据Anubhav，他之前被认定为Wicked ，并参与了同名Mirai变种的诞生。

Fortinet的研究人员首先发现了Wicked Mirai僵尸网络，而Anubhav则在NewSky的博客上发表了对黑客的采访。

邪恶/无政府状态被认为是其他Mirai变种背后的威胁演员，包括Omni和Owari（Sora）。

正如本文开头所解释的那样，Anarchy没有使用任何特定的漏洞来在几个小时内收集成千上万的设备。在 CVE-2017-17215是一个众所周知的漏洞，使用许多其他僵尸网络，其中包括未来开悟，收集僵尸。

华为家庭路由器中的CVE-2017-17215零日漏洞主要体现在TR-064技术报告标准（专为本地网络配置而设计）通过端口37215暴露给WAN（UPnP - 通用即插即用））。

用于定位华为路由器的漏洞利用代码已公开发布，12月Ankit Anubhav在Pastebin.com上发现了它。

“NewSky Security观察到一位知名威胁演员今年圣诞节在Pastebin上免费发布华为漏洞CVE-2017-17215的工作代码。这个漏洞已经在两个不同的物联网僵尸网络攻击中被武器化，即Satori和Brickerbot。“

当时，被识别为“Nexus Zeta”的黑客使用CVE-2017-17215的漏洞利用代码来传播Satori僵尸程序（又名Okiku）。

在线代码的可用性代表了一个严重的风险，它可能成为地下犯罪的商品，vxers可以用它来构建他们的僵尸网络。

Satori并不是利用CVE-2017-17215漏洞利用代码的唯一僵尸网络，12 月初，Brickerbot僵尸网络的作者与绰号“Janitor”上线发布了一个包含Brickerbot源代码片段的转储。

NewSky Security分析了代码并发现了漏洞代码CVE-2017-17215的使用，这意味着代码在地下可用了很长时间。

根据Bleeping Computer的说法，Anarchy告诉Anubhav，他还计划针对 Realtek路由器中的CVE-2014-8361漏洞，该漏洞可通过端口52869进行攻击。

“现在已经开始对Realtek漏洞进行测试，”Anubhav 今天在一次私人谈话中告诉 Bleeping Computer 。[ 更新：Rapid7和Greynoise都证实 Realtek的扫描今天已经通过屋顶。]

低于md5和与威胁相关的C＆C：

攻击者Anarchy已经分享了一份受感染的受害者IP列表，在这一点上，由于显而易见的原因，我没有公开。他的僵尸网络中的垃圾箱md5>

c3cf80d13a04996b68d7d20eaf1baea8

可以看出，它只使用了1个漏洞，2017-17215

Ketashi僵尸网络

hxxp：//104.244.72.82

hxxp：//104.244.72.82/sister

hxxp：//104.244.72.82/k

http://104.244.72.82/gpon

- SMII Mondher

最新评论