Hoaxcalls僵尸网络：利用CVE

僵尸网络：利用CVE"/>

Hoaxcalls僵尸网络：利用CVE

概述

CVE-2020-8515漏洞POC今年3月发布后，就被用于新的DDoS僵尸网络中。进一步分析表明该恶意软件也在利用CVE-2020-5722漏洞进行传播。检测到的攻击流量自2020年3月31日以来增加了一倍，表明许多Grandstream UCM6200 和Draytek Vigor设备已经被感染或正在被攻击。Grandstream设备是基于IP的商用电话系统，Draytek是路由器设备。

CVE-2020-8515 和CVE-2020-5722漏洞的CVSS v3.1评分都是9.8。一旦被利用，攻击者就可以在有漏洞的设备上执行任意命令。恶意软件是基于Gafgyt/Bashlite恶意软件家族代码基的，研究人员根据其C2通信使用的IRC信道名将其命名为“Hoaxcalls”。 Hoaxcalls可以根据接收到的C2命令发起不同的DDoS攻击。此外，Hoaxcalls还可以利用CVE-2020-8515 和CVE-2020-5722这两个漏洞进行传播。

Hoaxcalls——DDoS僵尸主机

Hoaxcalls是一个通过IRC 与C2服务器进行通信的DDoS僵尸主机。根据C2运营者的选择，主机有不同的DDoS攻击能力。在接收到适当的C2命令后，就可以使用CVE-2020-8515 和CVE-2020-5722漏洞利用来扫描和感染有漏洞的设备。

Hoaxcalls执行后会初始化一个消息表，根据对应的index xor解密特定的消息，奇热提取和打印console的消息，然后再次加密解密的消息。比如，加密的字符串index是0x21，解密的消息就是hubnr 和vbrxmr。

使用的加密方案是大多数Mirai变种使用的标准的字节级的XOR，使用5个8字节的表key：

· 0x