Ботнет сканира системите в Интернет за Shellshock

0
23


Изглежда опитите на киберпрестъпни групи да експлоатират Shellshock продължават, независимо от усилията, които биват полагани от IT компаниите и администраторите на компютърни системи да се справят с проблема.

В края на миналия месец ви съобщихме за откриването на дупка в безопасността на командния интерпретатор Bash (Bourne Again Shell), който се ползва в някои UNIX и UNIX-подобни системи. Първоначално откритата уязвимост – CVE-2014-6271 бе допълнена скоро от четири допълнително открити дупки в Bash,чието използване от неоторизирано лице може да позволи на атакуващата страна да вземе широки правомощия над системата и да инсталира зловреден код на нея.

Няма яснота по отношение на това, дали уязвимостта в Bash е била използвана в атаки допреди откриването й, но след разкриването й се появиха доклади за това как хакери от различни точки на света са започнали да сканират ресурси, свързани с Интернет за наличието на уязвимостта. Самата дупка в Bash освен традиционни сървърни устройства, засяга и ред други обекти, като различни хардуерни устройства, вградени системи и др., като помощта за някои от тези системи може да се забави значчително поради трудността за доставяне на “кръпката” за Bash към тях. Едно от нещата, което съветваха специалисти по информационна безопасност беше подобни устройства да бъдат разкачени от Интернет до доставянето до тях на обновлението за Bash.

Shellshock може да бъде експлоатиран посредством няколко вектора за атака, включващи CGI (Common Gateway Interface), OpenSSH, DHCP (Dynamic Host Configuration Protocol) и дори OpenVPN в някои случаи.

Последните съобщения за опитите за експлоатирането на уязвимостта са свързани с опитите на хакери да инфектират Линукс системи чрез зловредната програма Mayhem, възползвайки се от дупката в тези системи, оставена от Shellshock.

Mayhem беше открит по-рано тази година, и подробно анализиран от специалисти от руската интернет компания “Яндекс”. Програмата се инсталира на системите посредством PHP скрипт, който хакерите успяват да качат на сървърите благодарение на откраднати FTP пароли, уязвимости в уеб-страниците или компрометиране на авторизиращите данни на администратора на тези системи. Основен компонент на Mayhem е ELF библиотечен файл, който след инсталацията си сваля допълнително зловредни плъгини и ги запазва в скрита и защитена с кодиране файлова система. Тези плъгини позволяват на хакерите да компрометират с помощта на сървърите, които са паднали под ударите им допълнително интернет ресурси.

През юли тази година, разработчиците от Yandex съобщиха, че са регистрирали около 1400 инфектирани с малуера сървъри, които се управляват от две независими една от друга контролни системи.

Изследователи от независимата група по информационна сигурност Malware Must Die (MMD) съобщават, че към зловредния арсенал на Mayhem е добавена възможността за потенциалното наличие на Shellshock в атакуваните от малуера системи.

Споменатите опити за атака с помощта на Mayhem са осъщствявани към уеб-сървъри, които поддържат CGI. Специално създадените автоматизирани ресурси проверяват дали сървърите са уязвими на проблема с Bash, и ако са, те се възползват от това, изпращайки към тях тях Perl скрипт. Той съдържа зловредните ELF файлове, насочени, както към 32-, така така и към 64-битови CPU архитектури, като се инсталират в системата благодарение на изпълнение на функцията LD_PRELOAD. Следва създаването на скрита файлова система, където запазва допълнително компоненти, нужни му за неговото бъдещо разпространение. Според разработчиците от MMD, един от тези допълнителни компоненти е насочен към експлоатирането на Shellshock. Теорията на специалистите бива подкрепена от факта, че вече са регистрирани атаки от IP адреси, които идват от все още активни ботнети, управлявани от Mayhem. MMD са уведомили вече CERT екипите в тези държави, от които идват въпросните опити за атака.

ДОБАВИ КОМЕНТАР

Коментирай това преди всички други

Извести ме за
avatar
wpDiscuz