Hoaxcalls僵尸网络:利用CVE-2020-8515/5722漏洞

最新推荐文章于 2023-12-17 20:30:00 发布
最新推荐文章于 2023-12-17 20:30:00 发布
阅读量1.4k 收藏
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/systemino/article/details/105394761
版权

概述

CVE-2020-8515漏洞POC今年3月发布后,就被用于新的DDoS僵尸网络中。进一步分析表明该恶意软件也在利用CVE-2020-5722漏洞进行传播。检测到的攻击流量自2020年3月31日以来增加了一倍,表明许多Grandstream UCM6200 和Draytek Vigor设备已经被感染或正在被攻击。Grandstream设备是基于IP的商用电话系统,Draytek是路由器设备。

CVE-2020-8515 和CVE-2020-5722漏洞的CVSS v3.1评分都是9.8。一旦被利用,攻击者就可以在有漏洞的设备上执行任意命令。恶意软件是基于Gafgyt/Bashlite恶意软件家族代码基的,研究人员根据其C2通信使用的IRC信道名将其命名为“Hoaxcalls”。 Hoaxcalls可以根据接收到的C2命令发起不同的DDoS攻击。此外,Hoaxcalls还可以利用CVE-2020-8515 和CVE-2020-5722这两个漏洞进行传播。

Hoaxcalls——DDoS僵尸主机

Hoaxcalls是一个通过IRC 与C2服务器进行通信的DDoS僵尸主机。根据C2运营者的选择,主机有不同的DDoS攻击能力。在接收到适当的C2命令后,就可以使用CVE-2020-8515 和CVE-2020-5722漏洞利用来扫描和感染有漏洞的设备。

Hoaxcalls执行后会初始化一个消息表,根据对应的index xor解密特定的消息,奇热提取和打印console的消息,然后再次加密解密的消息。比如,加密的字符串index是0x21,解密的消息就是hubnr 和vbrxmr。

使用的加密方案是大多数Mirai变种使用的标准的字节级的XOR,使用5个8字节的表key:

最低0.47元/天 解锁文章
systemino
关注
Mirai僵尸网络利用Spring4Shell漏洞
Trouvailless的博客
04-22 1231
Mirai僵尸网络变种已经开始利用Spring4Shell漏洞。 3月底,研究人员发现了Spring4Shell 0day 漏洞,随后补丁发布。4月初,Trend Micro安全研究人员发现有攻击者利用Spring4Shell漏洞武器化Mirai 僵尸网络。 Spring4Shell漏洞概述 Spring框架是一个开源的J2EE应用程序框架,可以帮助软件开发人员快速开发具备企业级特征的Java 应用。近日,安全研究人员在Spring Java框架中发现了2个可以实现远程代码执行的安全漏洞CVE编号分
Draytek企业网络设备命令注入复现(CVE-2020-8515
thelostworld
04-10 1359
一、漏洞描述DrayTek URI未能正确处理SHELL字符,远程攻击者可以利用漏洞提交特殊的请求,可以ROOT权限执行任意命令。远程命令注入漏洞被标记为CVE-2020-8515,主要影响了DrayTek Vigor网络设备,包括企业交换机、路由器、负载均衡器和VPN网关。二、影响范围Vigor2960 < v1.5.1Vigor300B < v1.5.1Vigor3900 &lt...
智云盾捕获多个僵尸网络利用最新ConfluenceRCE漏洞的活动
Baidu_Secrity的博客
09-22 427
一、背景8月25日,Atlassian官方发布公告,公布了一个最新的远程代码执行漏洞,多个版本Confluence服务存在漏洞。9月7日,智云盾威胁中心检测到BillGates、Muhst...
IRC-Bot-Hunters:我为IRC僵尸网络编写的Metasploit PoC漏洞收集,允许RCE
05-24
IRC机器人猎人 我为IRC僵尸网络编写的Metasploit PoC攻击集合,该僵尸网络接管了僵尸程序的所有者,然后该僵尸程序允许远程执行代码。 大多数IRC僵尸网络可以通过使用其牧民的用户名或触发执行外壳程序执行的特定命令来接管。 Metasploit存储库中已接受此处的几乎所有模块。 如果您正在寻找C&C漏洞利用模块或使用后盖,例如r57 / c99 shell,我还制作了,已推送到主msf存储库中。 接受的Metasploit模块 w3tw0rk / Pitbul IRC bot的远程执行代码- Legend Perl IRC Bot远程执行代码-https: XDH / LinuxNet Perlbot / fBot IRC bot的远程执行代码- PHP IRC机器人PBOT的eval()远程执行代码(仅贷记) - 一些参考 w3tw0rk /斗犬的Perl IR
网络安全观察DDoS 威胁
m0_73803866的博客
10-15 896
2019 年(截止 2019 年 11 月),我们监控到 DDoS 攻击次数为 16.74 万次,攻击总流量为 43.68 万 TB,与 2018 年同期相比,攻击次数增加了 30.2%,攻击总流量下降了 26.4%,这是自 2017 年攻击 总流量翻番后首次下降。该团伙月度攻击源数量和攻击目标数量如下图所示。2019 年 300G 以上的超大规模的攻击类型分布如下图所示,SYN攻击占比最高,其次是混合攻击, 占比 32%,大流量混合攻击对清洗设备性能和清洗线路的稳定,以及防护运营提出了更大的挑战。
SAP_RECON:CVE-2020-6287,CVE-2020-6286的PoC(SAP RECON漏洞
04-01
CVE-2020-6287,CVE-2020-6286的PoC(SAP RECON漏洞) ff! RECON(NetWeaver上的可远程利用代码)? 伙计们,真的吗? 那是您想到的最好的代号? :) 此脚本可检查SAP LM配置向导是否缺少授权检查漏洞,并且PoC...
CVE-2020-5398:VE CVE-2020-5398-Spring MVC的RFD(反射文件下载)攻击
04-15
CVE-2020-5398-Spring MVC的RFD(反射文件下载)攻击 在Spring Framework(版本低于5.2.3的5.2.x,版本5.1.13的5.1.x和版本5.0.16的5.0.x)中,应用程序在受到攻击时很容易受到反射文件下载(RFD)攻击在响应中设置...
CVE-2020-35728:CVE-2020-35728 和 Jackson-databind RCE
05-31
描述 2.9.10.8 之前的 FasterXML jackson-databind 2.x 错误处理了与 ... web/javax.servlet.jsp.jstl)。 如何RCE pom.xml <?xml version="1.0" encoding="UTF-8"?>...
CVE-2020-8163:CVE-2020-8163-在Rails中远程执行用户提供的本地名称的代码
03-09
已为该漏洞分配了CVE标识符CVE-2020-8163。 受影响的版本:rails <5.0.1不受影响:不允许用户控制本地名称的应用程序。 固定版本:4.2.11.2 漏洞应用: 我包含了一个可用于测试目的的易受攻击的应用程序。 易...
cve-2020-8597PPPD漏洞修复
luuuone的博客
04-13 2594
这里写自定义目录标题欢迎使用Markdown编辑器新的改变功能快捷键合理的创建标题,有助于目录的生成如何改变文本的样式插入链接与图片如何插入一段漂亮的代码片生成一个适合你的列表创建一个表格设定内容居中、居左、居右SmartyPants创建一个自定义列表如何创建一个注脚注释也是必不可少的KaTeX数学公式新的甘特图功能,丰富你的文章UML 图表FLowchart流程图导出与导入导出导入 欢迎使用Ma...
CVE-2020-14386: Linux内核权限提升漏洞通告
爱国小白帽
09-23 2334
360CERT [三六零CERT](javascript:void(0)???? 今天 报告编号:B6-2020-092301 报告来源:360CERT 报告作者:360CERT 更新日期:2020-09-23 0x01 漏洞简述 2020年09月23日,360CERT监测发现 openwall邮件组 发布了 linux-kernel 权限提升漏洞 的风险通告,该漏洞编号为 CVE-2020-14386 ,漏洞等级:高危,漏洞评分:7.8。 本地攻击者通过向受影响的主机发送特制的请求内容,可以造成权限提升
CVE-2020-0796 Windows SMBv3 LPE Exploit POC 分析
systemino的博客
04-09 416
0x00 漏洞背景 2020年3月12日微软确认在Windows 10最新版本中存在一个影响SMBv3协议的严重漏洞,并分配了CVE编号CVE-2020-0796,该漏洞可能允许攻击者在SMB服务器或客户端上远程执行代码,3月13日公布了可造成BSOD的poc,3月30日公布了可本地特权提升的poc, 这里我们来分析一下本地特权提升的poc。 0x01 漏洞利用原理 漏洞存在于在srv2.s...
网络攻击1——网络安全基本概念与终端安全介绍(僵尸网路、勒索病毒、木马植入、0day漏洞
最新发布
m0_49864110的博客
12-17 1860
黑客将邮件发布到受害者主机,其中这个邮件中携带的附件中是没有携带任何病毒的,但是把附件下载到本地并打开之后,黑客在附件中的隐藏的代码就会自动执行(一般代码都是下载器,从某个服务器来下载软件---该下载器没有病毒,不会被安全设备查杀)植入时,直接将完整的木马程序(文件)植入目标计算机,然后启动这个木马程序,让木马工作(完整的木马程序一般分为服务器程序和控制器程序,木马植入的程序为服务器程序,此时拥有控制器程序的冉就可以控制装有服务器程序的电脑)利用系统或软件漏洞通过网络进行自我传播的恶意程序,独立存在;
CVE-2020-1472漏洞实战 深度剖析
Ms08067安全实验室
11-18 9277
本文作者:Faith(Ms08067实验室 内网安全攻防知识星球)0x00漏洞说明CVE-2020-1472是继MS17010之后一个比较好用的内网提权漏洞,影响Windows Serv...
从目录遍历到RCE:对CVE-2020–5902的深入了解
知柯信安
01-09 486
CVE-2020-5902发布以来,互联网一直在嗡嗡作响,这是有充分理由的。由Mikhail Klyuchnikov发现的此漏洞是史诗级事件之一。不应通过公共IP空间访问流量管理用户界面(TMUI),但是在Shodan上进行的快速搜索将发现超过8,400个易受攻击的系统,并且此搜索中可能没有更多原因。 截至2020年7月4日,该漏洞 已被广泛发现并在野外被利用,使攻击者能够在易受攻击的系统上读取文件并执行代码。我本来打算为此发布概念证明,以便有时间让公司修补系统,但是由于概念证明今天似乎遍布Twitter
【安全】漏洞名词扫盲(POC,EXP,CVE,CVSS等)
热门推荐
qqchaozai的专栏
12-16 2万+
POC(Proof of Concept) 漏洞证明,漏洞报告中,通过一段描述或一个样例来证明漏洞确实存在 EXP(Exploit) 漏洞利用,某个漏洞存在EXP,意思就是该漏洞存在公开的利用方式(比如一个脚本) 0DAY 含义是刚刚被发现,还没有被公开的漏洞,也没有相应的补丁程序,威胁极大。 CVE(Common Vulnerabilities & Exposures) 公共漏洞和...
CVE和全球安全漏洞库(NVD, CNNVD, CNVD) 在软件安全检测和验收中的最佳分析工具
weixin_42080971的博客
04-27 1万+
网址 全球信息安全漏洞库文件检测服务http://cvescan.com 全球信息安全领域著名的漏洞数据库包括中国国家信息安全漏洞库,美国国家信息安全漏洞库,赛门铁克漏洞库等等。这些漏洞库常见的做法是披露漏洞的形成原因和修复方法, 对如何检测漏洞却很少提及。缺少高效且准确的安全漏洞检测机制成为了制约漏洞利用效率的一个障碍。 另一方面,国内各个软件项目的验收阶段和第三方评测中心在验收过程中,普遍侧...
Nexus Repository Manager 3 远程命令执行漏洞CVE-2020-10199)
chaojixiaojingang
12-18 881
1.影响版本 Nexus Repository《=3.21.1 2.漏洞描述 Sonatype Nexus 是一个 Maven 的仓库管理系统,在 Nexus Repository Manager OSS/Pro 3.21.1 及之前的版本中,由于某处功能安全处理不当,导致经过授权认证的攻击者,可以在远程通过构造恶意的 HTTP 请求,在服务端执行任意恶意代码,获取系统权限。 3.环境准备 攻击机器:Kali 192.168.157.130 受害机器:docker镜像:192.168.157.1
FusionAuth 1.10 RCE漏洞CVE-2020-7799):预览功能漏洞利用
CVE-2020-7799,全称为"CVE-2020-7799:FusionAuth 1.10 Remote Code Execution (RCE)漏洞",影响的是FusionAuth 1.10版本。该漏洞是一种严重的安全问题,涉及到远程代码执行,这意味着攻击者可以通过利用漏洞在 ...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值