EwDoor 殭屍網絡

一種名為 EwDoor Botnet 的新殭屍網絡威脅一直在感染未受保護的 AT&T 企業網絡邊緣設備。該威脅利用了一個已有四年曆史的嚴重漏洞，被稱為 CVE-2017-6079。該漏洞允許攻擊者獲得對目標設備的無限制 root 訪問權限遠程。

最近攻擊的具體模型是 EdgeMarc Enterprise Session Border Controller。此類設備通常被 SME（中小型企業）用於保護和處理各種任務，例如電話、視頻會議或其他實時通信渠道。由於它們充當組織與其 ISP 之間的橋樑，因此這些會話邊界控制器是希望發起 DDoS（分佈式拒絕服務）攻擊並收集敏感信息的威脅參與者的主要目標。

數以千計的受損設備

奇虎 360 網絡安全研究實驗室的研究人員首先檢測到 EwDoor 殭屍網絡威脅。他們還能夠識別威脅行為者的命令和控制（C2、C&C）服務器之一。在短短三個小時內，研究人員就能夠識別出大約 5,700 個受感染的設備。之後，黑客切換到不同的C2通信。通過檢查設備的 SSI 證書，360 Netlab 發現大約 100, 000 個 IP 地址使用相同的 SSI 證書。

威脅能力

分析威脅的功能表明，它主要用於發起 DDoS 攻擊並建立連接到受害者網絡的後門。當前的 EwDoor 殭屍網絡版本具有六個主要功能。它可以自我更新、掃描端口、操縱文件系統、執行 DDoS 攻擊、啟動反向 shell，並允許攻擊者在受攻擊的服務器上執行任意命令。

AT&T 表示已意識到該問題並已採取措施減輕其影響。到目前為止，該公司還沒有發現任何證據表明其客戶的數據已被洩露。