Shellshock的影響還在繼續:攻擊者正在利用最近Bash命令行解釋器發現的漏洞,通過復雜的惡意軟件程序Mayhem來感染Linux服務器。
Mayhem在今年早些時候被發現,由俄羅斯互聯網公司Yandex進行了徹底的分析。該惡意軟件通過PHP腳本進行安裝,該腳本是由攻擊者通過感染FTP密碼、網站漏洞或者暴力破解網站管理登錄憑證而上傳到服務器。
Mayhem的主要組件是一個惡意ELF(可執行和可鏈接格式)庫文件,在安裝后,該文件會下載額外的插件并將它們存儲在隱藏的加密文件系統中。這些插件允許攻擊者使用新感染的服務器來攻擊和感染其他的網站。
在七月份,Yandex研究人員估計該僵尸網絡包含約1400臺受感染的服務器,這些服務器被鏈接到兩臺獨立的命令控制服務器。
來自獨立研究公司Malware Must Die(MMD)的研究人員在本周早些時候報告稱,Mayhem的編寫者已經添加了Shellshock漏洞利用到該僵尸網絡的武器庫。
Shellshock是最近在Linux Bash命令行解釋器中發現的多個漏洞的統稱。這些漏洞可以被利用來實現對服務器的遠程代碼執行,通過幾個攻擊向量,包括CGI(公共網關接口)、OpenSSH、DHCP(動態主機配置協議),在某些情況下甚至還有OpenVPN。
根據MMD公司研究人員表示,源自于Mayhem僵尸網絡的Shellshock攻擊瞄準著具有CGI支持的web服務器。僵尸機器會探測web服務器是否容易受到Bash漏洞的攻擊,然后利用它們來執行Perl腳本。
該腳本具有惡意Mayhem ELF二進制文件,針對32位和64位CPU架構,這些架構嵌入其中作為十六進制數據,并使用LD_PRELOAD函數來提取和運行它們。
與之前的版本一樣,它創建了隱藏的文件系統,用來存儲其額外的組件和插件,這些工具可用于對其他系統進行各種掃描和攻擊。MDL研究人員認為,這些組件中的某個組件已經升級為利用新的Shellshock漏洞利用,但還沒有得到證實。
然而(+本站微信networkworldweixin),這個理論并不是空穴來風,事實證明,有些已經觀察到的Shellshock攻擊嘗試源自于與現有Mayhem僵尸網絡相關的IP(互聯網協議)地址,除了來自英國、印度尼西亞、波蘭、奧地利、澳大利亞和瑞典的新的IP地址外。MMD公司已經將其收集的信息分享給了國家計算機應急響應小組(CERTs)。
大多數Linux發行版都已經發布了修復Shellshock漏洞的補丁,但很多web服務器,特別是自我管理的服務器,還沒有配置為自動部署更新。還有很多基于Linux的企業產品和嵌入式設備包含web服務器,容易受到Shellshock漏洞影響。如果這些產品沒有安裝補丁或者還沒有可用補丁,它們都可能成為攻擊目標。
京公網安備 11010502049343號