Hoaxcalls僵尸网络:利用CVE
概述
CVE-2020-8515漏洞POC今年3月发布后,就被用于新的DDoS僵尸网络中。进一步分析表明该恶意软件也在利用CVE-2020-5722漏洞进行传播。检测到的攻击流量自2020年3月31日以来增加了一倍,表明许多Grandstream UCM6200 和Draytek Vigor设备已经被感染或正在被攻击。Grandstream设备是基于IP的商用电话系统,Draytek是路由器设备。
CVE-2020-8515 和CVE-2020-5722漏洞的CVSS v3.1评分都是9.8。一旦被利用,攻击者就可以在有漏洞的设备上执行任意命令。恶意软件是基于Gafgyt/Bashlite恶意软件家族代码基的,研究人员根据其C2通信使用的IRC信道名将其命名为“Hoaxcalls”。 Hoaxcalls可以根据接收到的C2命令发起不同的DDoS攻击。此外,Hoaxcalls还可以利用CVE-2020-8515 和CVE-2020-5722这两个漏洞进行传播。
Hoaxcalls——DDoS僵尸主机
Hoaxcalls是一个通过IRC 与C2服务器进行通信的DDoS僵尸主机。根据C2运营者的选择,主机有不同的DDoS攻击能力。在接收到适当的C2命令后,就可以使用CVE-2020-8515 和CVE-2020-5722漏洞利用来扫描和感染有漏洞的设备。
Hoaxcalls执行后会初始化一个消息表,根据对应的index xor解密特定的消息,奇热提取和打印console的消息,然后再次加密解密的消息。比如,加密的字符串index是0x21,解密的消息就是hubnr 和vbrxmr。
使用的加密方案是大多数Mirai变种使用的标准的字节级的XOR,使用5个8字节的表key:
· 0x
Hoaxcalls僵尸网络:利用CVE
概述
CVE-2020-8515漏洞POC今年3月发布后,就被用于新的DDoS僵尸网络中。进一步分析表明该恶意软件也在利用CVE-2020-5722漏洞进行传播。检测到的攻击流量自2020年3月31日以来增加了一倍,表明许多Grandstream UCM6200 和Draytek Vigor设备已经被感染或正在被攻击。Grandstream设备是基于IP的商用电话系统,Draytek是路由器设备。
CVE-2020-8515 和CVE-2020-5722漏洞的CVSS v3.1评分都是9.8。一旦被利用,攻击者就可以在有漏洞的设备上执行任意命令。恶意软件是基于Gafgyt/Bashlite恶意软件家族代码基的,研究人员根据其C2通信使用的IRC信道名将其命名为“Hoaxcalls”。 Hoaxcalls可以根据接收到的C2命令发起不同的DDoS攻击。此外,Hoaxcalls还可以利用CVE-2020-8515 和CVE-2020-5722这两个漏洞进行传播。
Hoaxcalls——DDoS僵尸主机
Hoaxcalls是一个通过IRC 与C2服务器进行通信的DDoS僵尸主机。根据C2运营者的选择,主机有不同的DDoS攻击能力。在接收到适当的C2命令后,就可以使用CVE-2020-8515 和CVE-2020-5722漏洞利用来扫描和感染有漏洞的设备。
Hoaxcalls执行后会初始化一个消息表,根据对应的index xor解密特定的消息,奇热提取和打印console的消息,然后再次加密解密的消息。比如,加密的字符串index是0x21,解密的消息就是hubnr 和vbrxmr。
使用的加密方案是大多数Mirai变种使用的标准的字节级的XOR,使用5个8字节的表key:
· 0x
发布评论