Shellshock的影響還在繼續(xù):攻擊者正在利用最近Bash命令行解釋器發(fā)現(xiàn)的漏洞,通過復(fù)雜的惡意軟件程序Mayhem來感染Linux服務(wù)器。
Mayhem在今年早些時候被發(fā)現(xiàn),由俄羅斯互聯(lián)網(wǎng)公司Yandex進(jìn)行了徹底的分析。該惡意軟件通過PHP腳本進(jìn)行安裝,該腳本是由攻擊者通過感染FTP密碼、網(wǎng)站漏洞或者暴力破解網(wǎng)站管理登錄憑證而上傳到服務(wù)器。
Mayhem的主要組件是一個惡意ELF(可執(zhí)行和可鏈接格式)庫文件,在安裝后,該文件會下載額外的插件并將它們存儲在隱藏的加密文件系統(tǒng)中。這些插件允許攻擊者使用新感染的服務(wù)器來攻擊和感染其他的網(wǎng)站。
在七月份,Yandex研究人員估計該僵尸網(wǎng)絡(luò)包含約1400臺受感染的服務(wù)器,這些服務(wù)器被鏈接到兩臺獨立的命令控制服務(wù)器。
來自獨立研究公司Malware Must Die(MMD)的研究人員在本周早些時候報告稱,Mayhem的編寫者已經(jīng)添加了Shellshock漏洞利用到該僵尸網(wǎng)絡(luò)的武器庫。
Shellshock是最近在Linux Bash命令行解釋器中發(fā)現(xiàn)的多個漏洞的統(tǒng)稱。這些漏洞可以被利用來實現(xiàn)對服務(wù)器的遠(yuǎn)程代碼執(zhí)行,通過幾個攻擊向量,包括CGI(公共網(wǎng)關(guān)接口)、OpenSSH、DHCP(動態(tài)主機(jī)配置協(xié)議),在某些情況下甚至還有OpenVPN。
根據(jù)MMD公司研究人員表示,源自于Mayhem僵尸網(wǎng)絡(luò)的Shellshock攻擊瞄準(zhǔn)著具有CGI支持的web服務(wù)器。僵尸機(jī)器會探測web服務(wù)器是否容易受到Bash漏洞的攻擊,然后利用它們來執(zhí)行Perl腳本。
該腳本具有惡意Mayhem ELF二進(jìn)制文件,針對32位和64位CPU架構(gòu),這些架構(gòu)嵌入其中作為十六進(jìn)制數(shù)據(jù),并使用LD_PRELOAD函數(shù)來提取和運行它們。
與之前的版本一樣,它創(chuàng)建了隱藏的文件系統(tǒng),用來存儲其額外的組件和插件,這些工具可用于對其他系統(tǒng)進(jìn)行各種掃描和攻擊。MDL研究人員認(rèn)為,這些組件中的某個組件已經(jīng)升級為利用新的Shellshock漏洞利用,但還沒有得到證實。
然而(+本站微信networkworldweixin),這個理論并不是空穴來風(fēng),事實證明,有些已經(jīng)觀察到的Shellshock攻擊嘗試源自于與現(xiàn)有Mayhem僵尸網(wǎng)絡(luò)相關(guān)的IP(互聯(lián)網(wǎng)協(xié)議)地址,除了來自英國、印度尼西亞、波蘭、奧地利、澳大利亞和瑞典的新的IP地址外。MMD公司已經(jīng)將其收集的信息分享給了國家計算機(jī)應(yīng)急響應(yīng)小組(CERTs)。
大多數(shù)Linux發(fā)行版都已經(jīng)發(fā)布了修復(fù)Shellshock漏洞的補(bǔ)丁,但很多web服務(wù)器,特別是自我管理的服務(wù)器,還沒有配置為自動部署更新。還有很多基于Linux的企業(yè)產(chǎn)品和嵌入式設(shè)備包含web服務(wù)器,容易受到Shellshock漏洞影響。如果這些產(chǎn)品沒有安裝補(bǔ)丁或者還沒有可用補(bǔ)丁,它們都可能成為攻擊目標(biāo)。