China: Betreiber eines großen DDoS-Botnetzes verhaftet

Zum gesamten Artikel


Die chinesische Polizei hat eine kriminelle Gruppe, die ein DDoS-Botnetz mit mehr als 200.000 infizierten Webservern betrieb, verhaftet. Dies ist…

Ergänzungen meinerseits:

Vor Dezember 2018 war dieses genannte Bot-Netzwerk noch relativ klein und überschaubar bzw. man hatte sich für den DDOS-Service auf MIRAI und IoT - Basis spezialisiert gehabt!

Um aber zukünftig „mehr Power“ in der Hinterhand zu haben für das DDOS FOR HIRE-Konzept, entschied man sich dort bei den Betreibern dazu, irgendwie an potente Server in ganz China und / oder weltweit heranzukommen!
Ein eher glücklicher Zufall zur rechten Zeit, half den Ownern bei ihrem Vorhaben…

Alleine über 45.000 chinesische Websites wurden ab Ende 2018 von den Angreifern kompromitiert, um sich finalen Zugang zu den gewünschten Webservern verschaffen zu können!!
Die Angriffe zielten auf Websites und Server, die mit ThinkPHP erstellt / eingerichtet wurden, einem in China entwickelten PHP-Framework, das in der lokalen Web-Entwicklungsszene sehr beliebt ist.

Alle Angriffe begannen, nachdem das chinesische Cybersicherheitsunternehmen VulnSpy einen Proof-of-Concept-Exploit für ThinkPHP auf ExploitDB veröffentlicht hatte, einer Website, die für das Hosting von kostenlosem Exploit-Code beliebt ist.

Der Proof-of-Concept-Code nutzt eine Schwachstelle in der Methode „invokeFunction“ des Frameworks aus, um bösartigen Code auf dem zugrunde liegenden Server auszuführen. Die Schwachstelle ist remote ausnutzbar, da die meisten Schwachstellen in webbasierten Anwendungen meist vorhanden sind und es einem Angreifer ermöglichen können, die Kontrolle über den Server zu erlangen.

ANGRIFFE BEGANNEN INNERHALB EINES TAGES.
„Der PoC wurde am 11. Dezember veröffentlicht, und wir sahen weniger als 24 Stunden später internetweite Scans“, sagte Troy Mursch, Mitbegründer von Bad Packets LLC heute gegenüber ZDNet.

Vier weitere Sicherheitsunternehmen - F5 Labs, GreyNoise, NewSky Security und Trend Micro - haben ebenfalls ähnliche Scans gemeldet, die in den folgenden Tagen an Intensität zugenommen haben.

Auch die Anzahl der organisierten Bedrohungsgruppen, die die neue ThinkPHP-Schwachstelle nutzen, ist gestiegen. Es gibt jetzt die ursprünglichen Angreifer, eine weitere Gruppe von Sicherheitsexperten namens „D3c3mb3r“ und eine Gruppe, die die ThinkPHP-Schwachstelle nutzt, um Server mit der Miori IoT-Malware zu infizieren.

Diese letzte Gruppe, die von Trend Micro erkannt wurde, deutet auch darauf hin, dass das ThinkPHP-Framework verwendet worden sein könnte, um Control Panels für einige Heimrouter und IoT-Geräte zu erstellen, da Miori auf echten Linux-Servern nicht ordnungsgemäß funktionieren könnte.

Darüber hinaus hat NewSky Security auch eine vierte Gruppensuche nach ThinkPHP-basierten Websites erkannt und versucht, Microsoft Powershell-Befehle auszuführen.

„The Powershell one is bizarre“, sagte Ankit Anubhav, Principal Security Researcher für NewSky Security gegenüber ZDNet. „Sie haben tatsächlich Code, der nach dem Betriebssystemtyp sucht und verschiedenen Exploit-Code für Linux ausführt, aber sie führen auch Powershell aus, nur um ihr Glück zu versuchen.“

Aber die größte aller Gruppen, die diese ThinkPHP-Schwachstelle ausnutzen, ist die Gruppe, die sie D3c3mb3r nennen. Diese Gruppe ist nicht speziell auf ThinkPHP-Seiten ausgerichtet. Diese Gruppe scannt nach allem, was PHP betrifft.

„Sie sind sehr laut auf PHP“, sagte Anubhav zu uns. „Meistens auf der Suche nach Webservern und nicht nach IoT-Geräten.“

Aber diese Gruppe macht im Moment nichts Besonderes. Sie infizieren Server nicht mit Kryptowährungsminern oder anderer Malware. Sie scannen einfach nach anfälligen Hosts, führen einen einfachen „echo hello d3c3mb3r“-Befehl aus, und das war’s.

„Ich bin mir über ihr Motiv nicht sicher“, sagte Anubhav.

ÜBER 45.000 VERWUNDBARE HOSTS
Laut einer Shodan-Suche gibt es derzeit über 45.800 Server mit einer ThinkPHP-basierten Web-Applikation, die online erreichbar sind. Über 40.000 davon werden unter chinesischen IP-Adressen gehostet, was sinnvoll ist, da die Dokumentation von ThinkPHP nur auf Chinesisch verfügbar ist und höchstwahrscheinlich nicht außerhalb des Landes verwendet wird.

Dies erklärt auch, warum die meisten Angreifer, die nach ThinkPHP-Seiten suchen, ebenfalls überwiegend Chinesen sind.

„Bisher kommen die einzigen Hosts, die wir beim Scannen nach ThinkPHP-Installationen gesehen haben, aus China oder Russland“, sagte Mursch gegenüber ZDNet nach Rücksprache mit Daten über den Ursprung der meisten dieser Scans.

Aber Sie müssen kein Chinese sein, um eine Schwachstelle in chinesischer Software auszunutzen. Da immer mehr Bedrohungsgruppen von dieser neuen einfachen Möglichkeit erfahren werden, sich in Webserver zu hacken, werden die Angriffe auf chinesische Websites zunehmen.
Warten wir einfach mal ab, was noch kommt…?!?

:thinking::upside_down_face: