重大資安事件 - 資安趨勢部落格

Shellshock/Bash漏洞攻擊持續出閘!!最新攻擊針對中國金融機構

2014 年 09 月 29 日2014 年 09 月 29 日趨勢科技 TrendMicro

看起來Shellshock/ Bash 漏洞攻擊真正地開門出閘了。我們已經報導過不同的攻擊來利用Bash漏洞，從僵屍網路攻擊到IRC僵屍機器人都有。

趨勢科技也發現了在巴西看到利用Shellshock漏洞來嘗試進行攻擊。看起來這些攻擊意圖並不僅限於該國家。我們看到另一波的Shellshock漏洞攻擊 – 這次是針對中國的金融機構。

趨勢科技的 Deep Discovery 偵測到此類攻擊意圖，並且發現攻擊者是想要嘗試多個屬於該機構的 IP 地址是否具有此 Shellshock漏洞，也就是 CVE-2014-06271。進一步的分析顯示有三個被測的IP地址可能有此漏洞，因為攻擊者試圖執行指令「/bin/uname –a」。指令「uname」會顯示系統資訊，包括作業系統平台、機器類型和處理器資訊。

乍一看，被取得系統資訊可能並無害處。但如同趨勢科技部落格在之前的文章中提過，資訊收集可能是為了準備更多破壞性計畫的指標。這指令可以為更大規模和更具破壞性的攻擊開道。

嘗試攻擊的時間很有意思，因為中國黃金週假期是從10月1日開始。所以這樣的嘗試很可能是在此假期間所進行攻擊的起始階段，因為網路系統管理員將在這段時候離開。

趨勢科技正在不斷地監視可能利用 Shellshock/Bash 漏洞的攻擊，同時確保使用者和組織在現實世界中免受此類威脅攻擊。趨勢科技的 Deep Discovery 提供了網路層面的能見度和威脅情報，以偵測和回應針對性攻擊及進階威脅。繼續閱讀

有關 Shellshock (Bash 漏洞) 的一些基本資訊(含資料圖表)

2014 年 09 月 29 日2016 年 01 月 25 日趨勢科技 TrendMicro

就在幾個月前，Heartbleed心淌血漏洞才橫掃網際網路，現在又出現了另一個存在已久的廣泛性安全漏洞，名叫 Shellshock (亦稱為 Bash 漏洞)，這一次，全球數以億計的伺服器和裝置及使用者都將受到威脅。Bash 漏洞之所以嚴重，是因為要利用它來發動攻擊輕而易舉，不需太大的專業技術能力。

這是什麼樣的漏洞？

Shellshock 是一個存在於 UNIX 類系統 Bash 指令列界面程式 (shell) 當中的漏洞。當今的 Bash 程式會讓使用者從遠端執行指令。如此一來，就能讓駭客在系統上執行惡意的程序檔 (script)，等於讓駭客掌控了一切。此漏洞的影響非常廣泛，因為所有的 Linux、BSD 和 Mac OS X 作業系統都受到影響，光是 Linux系統就占了網際網路上絕大多數的伺服器，再加上各種物聯網（IoT ,Internet of Things）裝置。

威脅的影響範圍及對象？

Shellshock/ Bash 漏洞等於在系統上開了一個後門，讓駭客能夠從遠端執行指令、取得系統控制權、挖掘資料、竊取資料、篡改網站等等。絕大多數採用 Linux 作業系統的電腦和連網裝置，如路由器、Wi-Fi 無線基地台、甚至智慧型燈泡都受到影響。

繼續閱讀

Shellshock持續造成IRC機器人的出現

2014 年 09 月 27 日2014 年 09 月 30 日趨勢科技 TrendMicro

愈來愈多攻擊利用此Shellshock/ Bash 漏洞 !!

在此漏洞被報導後僅僅幾個小時，所帶來的惡意軟體（如ELF_BASHLITE.A）就出現在威脅情勢中。其他的會帶來的惡意程式像是PERL_SHELLBOT.WZ和ELF_BASHLET.A也在真實世界中出現，有能力去執行命令，從而危害系統或伺服器。

除了會帶來這些惡意軟體，也有針對已知機構進行DDoS攻擊的報告。經過我們的調查，我們發現到在巴西有漏洞攻擊的出現，去測試目標伺服器是否有漏洞。這意味著幕後的攻擊者可能是想要收集情報，一旦他們取得所需要的資訊，就可能去進行接下來的攻擊，進而去滲透入他們的目標網路。

趨勢科技的研究人員正在不斷地監視可能利用Shellshock/ Bash 漏洞。根據趨勢科技的調查，發現有活躍中的IRC機器人（網際網路中繼聊天）會去利用Bash漏洞。趨勢科技將此機器人偵測為PERL_SHELLBOT.CE。受感染的系統會透過端口5190連到IRC伺服器，us[點]bot[點]nu，加入IRC頻道 – #bash。接著它會等待來自遠端攻擊者的命令。它可以進行下列指令：