Botnets Hakai und Yowai nutzen eine ThinkPHP-Schwachstelle zur Verbreitung

Originalbeitrag von Augusto Remillano II

Eine neue Mirai-Variante Yowai und die Gafgyt-Variante Hakai nutzen eine Schwachstelle (im Dezember 2018 gepatcht) im quelloffenen PHP Framework ThinkPHP aus, um ein Botnet via Websites zu verbreiten, die mit dem Framework erstellt wurden. Die Cyberkriminellen nutzen das Framework, um Dictionary-Angriffe auf Standard-Credentials zu starten und dann auf Webserver zuzugreifen. Das Ziel sind Distributed Denial of Service (DDoS)-Angriffe. Die Telemetriedaten zeigten, dass diese beiden Malware-Typen vom 11. Januar bis zum 17. Januar einen plötzlichen Anstieg der Angriffs- und Infizierungsversuche verursachten.

Die Sicherheitsforscher stellten fest, dass Yowai (BACKDOOR.LINUX.YOWAI.A) eine ähnliche Konfigurationstabelle enthält wie die anderer Mirai-Varianten. Sie kann mit denselben Prozeduren entschlüsselt werden und den ThinkPHP Exploit mit anderen bekannten Schwachstellen der Liste der Infektionseintrittsvektoren hinzufügen. Einzelheiten dazu umfasst der Originalbeitrag.

Das Hakai-Botnet wurde schon früher im Zusammenhang mit Infektionen von Internet of Things (IoT)-Geräten genannt und nutzte Router-Schwachstellen für die Verbreitung. Das untersuchte Hakai-Sample (BACKDOOR.LINUX.HAKAI.AA) suchte nach Fehlern, die nicht gepatcht wurden und fügte Exploits für Schwachstellen in ThinkPHP, D-Link DSL-2750B, CVE-2015-2051, CVE-2014-8361 und CVE-2017-17215 für die Verbreitung und Ausführung verschiedener DDoS-Angriffe hinzu. Weitere Einzelheiten enthält der Originalbeitrag.

Fazit

Angesichts der Tatsache, dass dieses quelloffene PHP Framework wegen seiner einfachen Benutzbarkeit und Funktionalität seht beliebt ist bei Entwicklern und Unternehmen, können Cyberkriminelle Hakai und Yowai einfach dazu missbrauchen, Webserver zu kapern und Websites anzugreifen. Und mit zunehmender Verfügbarkeit von Botnet-Codes Online kann man davon ausgehen, dass die Kriminellen auch weiterhin an Mirai-artigen Botnets arbeiten und weitere Eintrittskanäle und Varianten ausprobieren werden.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

*

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.