Shellshock持續造成IRC機器人的出現

愈來愈多攻擊利用此Shellshock/ Bash 漏洞 !!

在此漏洞被報導後僅僅幾個小時,所帶來的惡意軟體(如ELF_BASHLITE.A)就出現在威脅情勢中。其他的會帶來的惡意程式像是PERL_SHELLBOT.WZELF_BASHLET.A也在真實世界中出現,有能力去執行命令,從而危害系統或伺服器。

除了會帶來這些惡意軟體,也有針對已知機構進行DDoS攻擊的報告。經過我們的調查,我們發現到在巴西有漏洞攻擊的出現,去測試目標伺服器是否有漏洞。這意味著幕後的攻擊者可能是想要收集情報,一旦他們取得所需要的資訊,就可能去進行接下來的攻擊,進而去滲透入他們的目標網路。

趨勢科技的研究人員正在不斷地監視可能利用Shellshock/ Bash 漏洞。根據趨勢科技的調查,發現有活躍中的IRC機器人(網際網路中繼聊天)會去利用Bash漏洞。趨勢科技將此機器人偵測為PERL_SHELLBOT.CE。受感染的系統會透過端口5190連到IRC伺服器,us[點]bot[點]nu,加入IRC頻道 – #bash。接著它會等待來自遠端攻擊者的命令。它可以進行下列指令:

 

  • 執行DDoS攻擊
    • UDP
    • TCP
    • HTTP
  • 透過大量的CTCP、訊息、通知來造成IRC重啟或斷線
  • 下載任意檔案
  • 連到伺服器(IP地址:端口)
  • 掃描開啟端口(<IP>)
  • 寄送電子郵件(<主旨>,<寄件者>,<收件者> <訊息>)
  • Ping IP(<ip地址>,<端口>)
  • 解析DNS <ip/host>
  • 檢查機器人設定

 

圖1、PERL_SHELLBOT.CE感染圖表

 

到目前為止,此機器人會發送指令去變更頻道。這可能是種閃避技巧以防止被檔住。直到本文發表時,我們看到大約 400 個以上活躍的機器人加入IRC頻道。這些存取IRC伺服器的機器人大部分都位在美國、日本、加拿大和澳洲。

 

出現了相關威脅和攻擊嘗試,加上有活躍中的 IRC 機器人出現,清楚地讓使用者和企業看到此漏洞的嚴重性和它對真實世界的影響。請保持小心謹慎,提防其他的攻擊和威脅。敬請注意我們在此部落格的更新以掌握任何新的發展。

 

 

想知道更多關於Shellshock的詳細資訊,可以閱讀我們之前的相關主題文章:

 

  1. Shellshock/Bash漏洞攻擊持續出閘!!最新攻擊 針對中國金融機構
  2. Shellshock/bash 漏洞攻擊現身,可發動 DDoS 攻擊
  3. BASHLITE C&C 和 Shellshock/Bash 漏洞攻擊出現在巴西
  4. 關於 Shellshock (bash 漏洞) 你該知道的事
  5. Shellshock /Bash 漏洞有多糟糕?
  6. Shellshock 漏洞 猛烈來襲,網路用戶請全面戒備!
  7. 有關 Shellshock (Bash 漏洞) 的一些基本資訊(含資料圖表)
  8. ShellShock  (即 Bash 漏洞) 威脅全球近五億連網裝置,趨勢科技提供免費工具

 

 

@原文出處:Shellshock Updates: BASHLITE C&Cs Seen, Shellshock Exploit Attempts in Brazil

Bash Shell TM940x312_0926