Shellshock的影響還在繼續:攻擊者正在利用最近Bash命令行解釋器發現的漏洞,通過複雜的惡意軟體程序Mayhem來感染Linux伺服器。
Mayhem在今年早些時候被發現,由俄羅斯網際網路公司Yandex進行了徹底的分析。該惡意軟體通過PHP腳本進行安裝,該腳本是由攻擊者通過感染FTP密碼、網站漏洞或者暴力破解網站管理登錄憑證而上傳到伺服器。
Mayhem的主要組件是一個惡意ELF(可執行和可連結格式)庫文件,在安裝後,該文件會下載額外的插件並將它們存儲在隱藏的加密文件系統中。這些插件允許攻擊者使用新感染的伺服器來攻擊和感染其他的網站。
在七月份,Yandex研究人員估計該殭屍網絡包含約1400臺受感染的伺服器,這些伺服器被連結到兩臺獨立的命令控制伺服器。
來自獨立研究公司Malware Must Die(MMD)的研究人員在本周早些時候報告稱,Mayhem的編寫者已經添加了Shellshock漏洞利用到該殭屍網絡的武器庫。
Shellshock是最近在Linux Bash命令行解釋器中發現的多個漏洞的統稱。這些漏洞可以被利用來實現對伺服器的遠程代碼執行,通過幾個攻擊向量,包括CGI(公共網關接口)、OpenSSH、DHCP(動態主機配置協議),在某些情況下甚至還有OpenVPN。
根據MMD公司研究人員表示,源自於Mayhem殭屍網絡的Shellshock攻擊瞄準著具有CGI支持的web伺服器。殭屍機器會探測web伺服器是否容易受到Bash漏洞的攻擊,然後利用它們來執行Perl腳本。
該腳本具有惡意Mayhem ELF二進位文件,針對32位和64位CPU架構,這些架構嵌入其中作為十六進位數據,並使用LD_PRELOAD函數來提取和運行它們。
與之前的版本一樣,它創建了隱藏的文件系統,用來存儲其額外的組件和插件,這些工具可用於對其他系統進行各種掃描和攻擊。MDL研究人員認為,這些組件中的某個組件已經升級為利用新的Shellshock漏洞利用,但還沒有得到證實。
然而(+本站微信networkworldweixin),這個理論並不是空穴來風,事實證明,有些已經觀察到的Shellshock攻擊嘗試源自於與現有Mayhem殭屍網絡相關的IP(網際網路協議)地址,除了來自英國、印度尼西亞、波蘭、奧地利、澳大利亞和瑞典的新的IP位址外。MMD公司已經將其收集的信息分享給了國家計算機應急響應小組(CERTs)。
大多數Linux發行版都已經發布了修復Shellshock漏洞的補丁,但很多web伺服器,特別是自我管理的伺服器,還沒有配置為自動部署更新。還有很多基於Linux的企業產品和嵌入式設備包含web伺服器,容易受到Shellshock漏洞影響。如果這些產品沒有安裝補丁或者還沒有可用補丁,它們都可能成為攻擊目標。
(責任編輯: HN666)