EwDoor 僵尸网络

一种名为 EwDoor Botnet 的新僵尸网络威胁一直在感染未受保护的 AT&T 企业网络边缘设备。该威胁利用了一个存在 4 年的严重漏洞，被称为 CVE-2017-6079。该漏洞允许攻击者获得对目标设备的无限制 root 访问权限远程。

最近攻击的具体模型是 EdgeMarc Enterprise Session Border Controller。此类设备通常被 SME（中小型企业）用于保护和处理各种任务，例如电话、视频会议或其他实时通信渠道。由于它们充当组织与其 ISP 之间的桥梁，因此这些会话边界控制器是希望发起 DDoS（分布式拒绝服务）攻击并收集敏感信息的威胁参与者的主要目标。

数以千计的受损设备

奇虎 360 网络安全研究实验室的研究人员首先检测到 EwDoor 僵尸网络威胁。他们还能够识别威胁行为者的命令和控制（C2、C&C）服务器之一。在短短三个小时内，研究人员就能够识别出大约 5,700 个受感染的设备。之后，黑客切换到不同的C2通信。通过检查设备的 SSI 证书，360 Netlab 发现大约 100, 000 个 IP 地址使用相同的 SSI 证书。

威胁能力

分析威胁的功能表明，它主要用于发起 DDoS 攻击并建立连接到受害者网络的后门。当前的 EwDoor 僵尸网络版本具有六个主要功能。它可以自我更新、扫描端口、操纵文件系统、执行 DDoS 攻击、启动反向 shell，并允许攻击者在受攻击的服务器上执行任意命令。

AT&T 表示已意识到该问题并已采取措施减轻其影响。到目前为止，该公司还没有发现任何证据表明其客户的数据已被泄露。