Shellshock 新式攻擊針對SMTP伺服器,台灣為存取惡意網站最多的國家

趨勢科技 TrendMicro Shellshock 漏洞, Shellshock/Bash 漏洞, 傀儡殭屍網路, 漏洞攻擊, 重大資安事件

趨勢科技發現了針對SMTP伺服器的新式Shellshock攻擊。攻擊者利用電子郵件來攻擊這個漏洞。如果漏洞攻擊碼在有漏洞的SMTP伺服器上被執行成功,就會下載並執行被稱為「JST Perl IrcBot」的IRC殭屍程式。它會在執行後刪除自己,這很有可能是潛伏在雷達之下而不被偵測的方法。

下圖描述了攻擊的週期。

 

圖一、SMTP攻擊圖解

 

  1. 攻擊者將Shellshock惡意程式碼插入到主旨、寄件者、收件者和副本欄位來製造出惡意電子郵件。
  2. 攻擊者接著將這封電子郵件發送到任何可能有此漏洞的SMTP伺服器。
  3. 當有漏洞的SMTP郵件伺服器收到此惡意電子郵件時,內嵌的Shellshock惡意程式碼就會被執行,然後下載並執行一個IRC僵屍程式。接著會建立對IRC伺服器的連線。
  4. 攻擊者之後就能夠利用郵件伺服器來進行各種惡意活動,如發動垃圾郵件攻擊活動。

 

可能有漏洞的郵件伺服器

趨勢科技列出了各種可能有此漏洞的郵件伺服器環境。

  1. qmail郵件傳輸代理程式(MTA)

.qmail是控制電子郵件傳輸的UNIX設定檔,也負責去執行Bash shell指令。可以設定它去啟動程式,一旦它呼叫了Bash,攻擊就算成功了。(這攻擊需要qmail MTA上有效收件者具備.qmail檔,而且.qmail檔包含任意派遞程式)。

  1. 第四版前的exim MTA

第四版的exim開始,pipe_transport不會呼叫Shell來擴展變數和組合指令。

  1. 使用procmail的Postfix:Postfix MTA會調用procmail,一個郵件傳遞代理程式(MDA)。MDA被用來排序和過濾寄入的郵件。

Postfix沒有明顯的Shellshock漏洞。然而procmail(一種郵件傳遞代理程式)本身可以使用環境變數來將郵件標頭傳遞給隨後的派遞/過濾程式,導致了可被攻擊的Shellshock漏洞。

注:Debian/Ubuntu的Postfix預設將procmail設在main.cfmailbox_command設定。這代表Debian/Ubuntu的Postfix可能會遭受Shellshock漏洞攻擊。

 

攻擊分析

根據趨勢科技的分析,如果嵌入到電子郵件的惡意腳本被有漏洞的SMTP伺服器成功地執行,攻擊者所製作的惡意電子郵件會連到以下網址並下載IRC殭屍程式:

  • hxxp://{BLOCKED}.{BLOCKED}.31.165/ex.txt
  • hxxp://{BLOCKED}.{BLOCKED}.251.41/legend.txt
  • hxxp://{BLOCKED}.{BLOCKED}.175.145/ex.sh

 

到目前為止所發現的IRC殭屍程式都是由Perl撰寫。ex.txt和ex.sh是同一個檔案,只是名稱不同。

圖2、「JST Perl IrcBot」下載的程式原始碼

 

「JST Perl IrcBot」透過端口6667、3232和9999連到命令與控制(C&C)IRC伺服器。殭屍程式會執行以下行為,危害受影響系統的安全:

  • 從網址下載檔案
  • 發送郵件
  • 掃描端口
  • 執行分散式拒斷服務(DDoS)攻擊
  • 執行Unix指令

這種SMTP伺服器攻擊已經出現在臺灣、德國、美國和加拿大等國家。

圖3、存取惡意軟體網站最多的國家

這次SMTP攻擊所發現的IRC僵屍程式會連到下列IRC伺服器,等待來自傀儡殭屍

主人或攻擊者的命令:

  • 62[.]193[.]210[.]216
  • d[.]hpb[.]bg

趨勢科技至少偵測到了 44種的IRC Perl殭屍程式變種。此次攻擊相關的雜湊值是:

  • SHA1:23b042299a2902ddf830dfc03920b172a74d3956 (SMA)
  • SHA1:8906df7f549b21e2d71a46b5eccdfb876ada835b (SM)

 

結論

此次的SMTP攻擊凸顯出另一個讓攻擊者可以透過Shellshock漏洞來發動IRCBotnet傀儡殭屍網路」程式的平臺。

趨勢科技建議IT管理員封鎖所有的攻擊相關IP地址和網域。雖然到我們發表此篇文章時,受害國家和影響還有限,但我們會不斷監視此威脅的任何新發展。趨勢科技可以偵測所有已發現跟此攻擊相關的IRC殭屍程式,所以我們的客戶都受到良好的保護。趨勢科技的Deep Security 可以透過下列規則來防止SMTP伺服器上的這類攻擊(自9月30日就已經發表):

  • 1006259 – GNU Bash Remote Code Execution Vulnerability Over SMTP

 

關於Shellshock漏洞的詳細資訊,你可以閱讀我們的Shellshock相關故事和資料整理

 

使用者還可以透過這些工具來取得免費的Shellshock防護。

 

@原文出處:Shellshock–Related Attacks Continue, Targets SMTP Servers

相關文章:

BlackSquid 利用八種知名漏洞潛入伺服器與磁碟,並植入 XMRig 挖礦程式
《IOT 》Mirai 變種利用13種漏洞攻擊路由器等裝置
攻擊者利用 Struts和 DotNetNuke 伺服器漏洞,進行數位貨幣挖礦攻擊
PC-cillin2017 雲端版成功封鎖攔截勒索病毒 WannaCry,即刻免費安裝試用,不再「 想哭」!