[[437908]]

近期，奇虎360 Netlab研究人員發現一個新的僵尸網絡—— EwDoor，該僵尸網絡利用四年前的一個嚴重漏洞(編號CVE-2017-6079)，針對未打補丁的AT&T客戶發起猛烈攻擊，僅三個小時，就導致將近6000臺設備受損。

“2021年10月27日，我們的 Botmon 系統發現攻擊者通過 CVE-2017-6079 攻擊 Edgewater Networks 的設備，在其有效載荷中使用相對獨特的掛載文件系統命令，這引起了我們的注意，經過分析，我們確認這是一個全新的僵尸網絡，基于它針對 Edgewater 生產商及其后門功能，我們將其命名為 EwDoor。” 奇虎360發布報告分析。

EdgeMarc 設備支持高容量 VoIP 和數據環境，彌補了運營服務提供商在企業網絡服務上的缺陷。但同時，這也要求設備需公開暴露在 Internet 上，無可避免地增加了其受遠程攻擊的風險。

三小時內發現近6000臺受損設備

研究人員通過注冊其備份命令和控制 (C2) 域，監控從受感染設備發出的請求，以確定僵尸網絡的規模。不幸的是，在遇到主 C2 網絡故障后，EwDoor 重新配置了其通信模型。

在短短三小時內，研究人員發現受感染的系統是 AT&T 使用的EdgeMarc Enterprise Session Border Controller。并且專家已經確定了位于美國的5700臺受感染設備(IP)。

“通過回查這些設備使用的 SSl 證書，我們發現大約有 10 萬個 IP 使用相同的 SSl 證書。我們不確定與這些 IP 對應的設備有多少可能被感染，但我們可以推測，由于它們屬于同一類設備，因此可能的影響是真實的。”

EwDoor主要目的是 DDoS 攻擊

研究發現，EwDoor已經經歷了3個版本的更新，其主要功能可以概括為DDoS攻擊和Backdoor兩大類。基于被攻擊設備與電話通信相關，研究人員推測EwDoor主要目的是 DDoS 攻擊，以及收集通話記錄等敏感信息。

EwDoor支持六大功能(基本邏輯如下所示)：

• 自我更新
• 端口掃描
• 文件管理
• DDoS 攻擊
• 反殼
• 執行任意命令

EwDoor 僵尸網絡 (360 Netlab)

為了躲避安全專家的分析，EwDoor竟采取了一系列保護措施，例如使用TLS協議防止通信被攔截，敏感資源加密等。“修改ELF中的'ABIFLAGS'PHT以對抗qemu-user和一些高內核版本的linux沙箱。這是一個比較少見的對策，說明EwDoor的作者對Linux內核、QEMU、Edgewater設備非常熟悉。”研究報告提到。

專家還在報告中提供了有關 EwDoor 僵尸網絡的其他技術細節，并分享了針對此威脅的入侵指標 (IOC)。