이도어 봇넷

EwDoor Botnet이라는 새로운 봇넷 위협이 보호되지 않은 AT&T 엔터프라이즈 네트워크 에지 장치를 감염시키고 있습니다. 이 위협은 CVE-2017-6079로 추적된 4년 된 치명적인 취약점을 악용합니다. 익스플로잇을 통해 공격자는 대상 장치에 대한 무제한 루트 액세스 권한을 얻을 수 있습니다.떨어져서.

최근 캠페인에서 공격을 받은 특정 모델은 EdgeMarc Enterprise Session Border Controller입니다. 이러한 장치는 일반적으로 중소기업(중소기업)에서 전화 통화, 화상 회의 또는 기타 실시간 통신 채널과 같은 다양한 작업을 보호하고 처리하는 데 사용됩니다. 이러한 세션 경계 컨트롤러는 조직과 해당 ISP 사이의 다리 역할을 하기 때문에 DDoS(분산 서비스 거부) 공격을 시작하고 민감한 정보를 수집하려는 위협 행위자의 주요 표적입니다.

수천 개의 손상된 장치

Qihoo 360의 네트워크 보안 연구소의 연구원들은 EwDoor 봇넷 위협을 처음 감지했습니다. 그들은 또한 위협 행위자의 명령 및 제어(C2, C&C) 서버 중 하나를 식별할 수 있었습니다. 단 3시간 만에 연구원들은 약 5,700개의 감염된 장치를 식별할 수 있었습니다. 이후 해커는 다른 C2 통신으로 전환했습니다. 장치의 SSI 인증서를 확인하여 360 Netlab은 약 100,000개의 IP 주소가 동일한 SSI 인증서를 사용하고 있음을 발견했습니다.

위협적인 능력

위협의 기능을 분석하면 대부분 DDoS 공격을 시작하고 피해자의 네트워크에 연결하는 백도어를 설정하는 것으로 나타났습니다. 현재 EwDoor Botnet 버전은 6가지 주요 기능을 갖추고 있습니다. 스스로 업데이트하고, 포트를 검색하고, 파일 시스템을 조작하고, DDoS 공격을 수행하고, 역 셸을 시작하고, 공격자가 침해된 서버에서 임의의 명령을 실행할 수 있도록 합니다.

AT&T는 이 문제를 인지하고 있으며 그 영향을 완화하기 위한 조치를 취했다고 밝혔습니다. 지금까지 회사는 고객 데이터가 손상되었다는 증거를 찾지 못했습니다.