前言

網路犯罪分子正在利用一個在2018年12月被發現和已修補的ThinkPHP漏洞傳播Yowai（Mirai變種）和Hakai（Gafgyt變種）兩種殭屍網路病毒。

網路犯罪分子利用字典攻擊破壞使用PHP框架建立網站的Web伺服器，並獲得這些路由器的控制，以實現分散式拒絕服務攻擊（DDoS）。

Yowai

Yowai（BACKDOOR.LINUX.YOWAI.A，由趨勢科技檢測）具有與其他Mirai變體類似的配置表。其配置表使用相同的過程進行解密，並將ThinkPHP漏洞利用新增到感染列表中。

Yowai偵聽埠6以接收來C＆C伺服器的命令。在感染路由器後，它會使用字典攻擊來嘗試感染其他裝置。受影響的路由器現在成為殭屍網路的一部分，使其運營商能夠使用受影響的裝置發起DDoS攻擊。

Yowai利用許多其他漏洞來補充字典攻擊，它在執行後會在使用者控制檯上顯示一條訊息。分析發現它還包含一個競爭的殭屍網路列表，它將從系統中清除這些競爭的殭屍網路。

表1. Yowai用於字典攻擊的預設使用者名稱和密碼列表以及從系統中刪除競爭殭屍網路的列表 

除了ThinkPHP漏洞，Yowai還利用了以下漏洞：CVE-2014-8361，a Linksys RCE，CVE-2018-10561，CCTV-DVR RCE。

Hakai

Gafgytd變種Hakai（BACKDOOR.LINUX.HAKAI.AA，由趨勢科技檢測）殭屍網路病毒感染物聯網（IoT）裝置並依賴路由器漏洞進行傳播。

有趣的是，Hakai的樣本包含從Mirai複製的程式碼，特別是用於加密其配置表的函式。但是，該函式無法執行，懷疑telnet字典攻擊的程式碼是故意刪除的，以使Hakai更加隱蔽。

由於Mirai的變種通常會殺死競爭殭屍網路，Hakai避免攻擊使用預設密碼的IoT裝置從而更有生存的優勢。與暴力破解telnet相比，單獨利用漏洞傳播的方法更難以檢測。

結論

鑑於ThinkPHP是一個免費的開源PHP框架，因其簡化的功能和易用性而受到開發人員和公司的歡迎，很容易被Hakai和Yowai這樣的惡意程式濫用，進而破壞Web伺服器和攻擊網站。隨著更多的殭屍網路程式碼可以線上獲得和交換，可以預見相互競爭的殭屍網路具有相似的程式碼。

此外，網路犯罪分子會繼續研究類似Mirai的殭屍網路，開發更多Mirai變種，並增加惡意軟體的適應性，攻擊越來越多的使用預設密碼的IoT裝置。物聯網裝置使用者應將其裝置韌體更新到製造商釋出的最新版本，修補漏洞。使用者還應經常更新裝置密碼，以防止未經授權的登入。

• 已開源|一鍵重新整理，生成真人“照騙”

• 2018年近50億條個人資訊被洩露 內部漏洞遠高於黑客攻擊

• 英國議員：Facebook蓄意違反英國隱私法規

• 男子用黑客盜取的積分買遊戲機被捕 貪小便宜吃大虧