在前面的部落格文章中,我們提到Shellshock/ Bash 漏洞 針對某些機構發動DDoS攻擊,可以看出此漏洞對於現實世界影響的嚴重性。 Shellshock/ Bash 漏洞 攻擊程式所帶來的各種不同惡意程式(PERL_SHELLBOT.WZ、ELF_BASHLITE.A、ELF_BASHLET.A)會連到幾個相同的C&C伺服器。
對於那些剛剛加入的朋友,Shellshock/ Bash 漏洞 是個 Bash shell上的漏洞,Bash是讓使用者透過命令列來存取系統服務的使用者介面。如果用在惡人之手,攻擊者可以利用Shellshock在線上系統和伺服器執行惡意腳本 – 危害一切連到這些地方的東西。而且別誤會,此漏洞是很有可能被廣泛地用在破壞上,因為它影響到Linux、BSD和Mac OS X的作業系統。
一個和 ELF_BASHLITE.SM 及 ELF_BASHLITE.A 相關的 C&C伺服器 – 89[點]238[點]150[點]154[冒號]5,我們發現它也被 ELF_BASHWOOP.A所使用,被用在進行「Botnet傀儡殭屍網路」網路攻擊的後門程式。唯一的區別是它連接的端口 – ELF_BASHWOOP.A連到端口9003,而ELF_BASHLITE.SM連到端口5。根據我們的研究結果,此一C&C伺服器位在英國。
另一個C&C伺服器 – 162[點]253[點]66[點]76[冒號]53被ELF_BASHLITE.A和ELF_BASHLITE.SM所用,此C&C伺服器位於美國。
下面是連到這些C&C伺服器的國家列表:
圖1&2、C&C伺服器的地圖和表格
值得注意的是這些惡意軟體所執行的命令可以控制和終止僵屍網路,以及執行分散式阻斷服務(DDoS)攻擊。我們還發現它們會用帶有長訊息的指令來淹沒 IRC 使用者,這可能導致他們被斷線。這些指令的一些範例包括 UDP 和 TCP flooding、終止攻擊執行緒和僵屍網路等等。
要強調的是,Shellshock漏洞並不只影響伺服器和電腦。我們一直在做一些測試,確認以下也會受到Shellshock漏洞影響:
- 基於Linux的設備
- Mac OS X設備
- iPhone
不過要在這裡澄清的是。雖然我們確認後兩個也會受此漏洞影響,只有基於Linux 的設備可以被遠端攻擊 – Mac OS X 設備和 iPhone只能夠執行本地端攻擊,也就是攻擊者可以物理上存取到該設備。所以 Apple 關於這件事所發表的聲明,OS X 使用者如果沒有設定使用進階 UNIX服務的話,面對 Shellshock威脅仍是安全的說法仍然成立。
Shellshock漏洞攻擊出現在巴西
我們也發現巴西出現 Shellshock/ Bash 漏洞 攻擊,看起來是將矛頭對準官方機構。趨勢科技的 Deep Discovery 可以偵測到該入侵行為:
圖3、趨勢科技的 Deep Discovery發現巴西出現 Shellshock攻擊
似乎沒有任何真正的惡意行為或傷害產生,只是想要取得試圖滲透系統的資訊 – 但在網路犯罪和網路攻擊的世界裡,這可能很快就會有所改變。我們認為資料收集會是準備規模更大、更具破壞性攻擊的跡象。
趨勢科技正在不斷地監視可能利用Bash漏洞的攻擊,同時確保使用者和組織在現實世界中免受此類威脅攻擊。趨勢科技的Deep Discovery提供了網路層面的能見度和威脅情報,以偵測和回應針對性攻擊及進階威脅。
想知道更多關於Shellshock的詳細資訊,可以閱讀我們之前的相關主題文章:
- Shellshock/Bash漏洞攻擊持續出閘!!最新攻擊 針對中國金融機構
- Shellshock/bash 漏洞攻擊現身,可發動 DDoS 攻擊
- 關於 Shellshock (bash 漏洞) 你該知道的事
- Shellshock /Bash 漏洞有多糟糕?
- Shellshock 漏洞 猛烈來襲,網路用戶請全面戒備!
- 有關 Shellshock (Bash 漏洞) 的一些基本資訊(含資料圖表)
- ShellShock (即 Bash 漏洞) 威脅全球近五億連網裝置,趨勢科技提供免費工具
@原文出處:Shellshock Updates: BASHLITE C&Cs Seen, Shellshock Exploit Attempts in Brazil
