趨勢科技發現了針對SMTP伺服器的新式Shellshock攻擊。攻擊者利用電子郵件來攻擊這個漏洞。如果漏洞攻擊碼在有漏洞的SMTP伺服器上被執行成功,就會下載並執行被稱為「JST Perl IrcBot」的IRC殭屍程式。它會在執行後刪除自己,這很有可能是潛伏在雷達之下而不被偵測的方法。
下圖描述了攻擊的週期。
圖一、SMTP攻擊圖解
- 攻擊者將Shellshock惡意程式碼插入到主旨、寄件者、收件者和副本欄位來製造出惡意電子郵件。
- 攻擊者接著將這封電子郵件發送到任何可能有此漏洞的SMTP伺服器。
- 當有漏洞的SMTP郵件伺服器收到此惡意電子郵件時,內嵌的Shellshock惡意程式碼就會被執行,然後下載並執行一個IRC僵屍程式。接著會建立對IRC伺服器的連線。
- 攻擊者之後就能夠利用郵件伺服器來進行各種惡意活動,如發動垃圾郵件攻擊活動。
可能有漏洞的郵件伺服器
趨勢科技列出了各種可能有此漏洞的郵件伺服器環境。
- qmail郵件傳輸代理程式(MTA)
.qmail是控制電子郵件傳輸的UNIX設定檔,也負責去執行Bash shell指令。可以設定它去啟動程式,一旦它呼叫了Bash,攻擊就算成功了。(這攻擊需要qmail MTA上有效收件者具備.qmail檔,而且.qmail檔包含任意派遞程式)。
- 第四版前的exim MTA
從第四版的exim開始,pipe_transport不會呼叫Shell來擴展變數和組合指令。
- 使用procmail的Postfix:Postfix MTA會調用procmail,一個郵件傳遞代理程式(MDA)。MDA被用來排序和過濾寄入的郵件。
Postfix沒有明顯的Shellshock漏洞。然而procmail(一種郵件傳遞代理程式)本身可以使用環境變數來將郵件標頭傳遞給隨後的派遞/過濾程式,導致了可被攻擊的Shellshock漏洞。
注:Debian/Ubuntu的Postfix預設將procmail設在main.cf的mailbox_command設定。這代表Debian/Ubuntu的Postfix可能會遭受Shellshock漏洞攻擊。
攻擊分析
根據趨勢科技的分析,如果嵌入到電子郵件的惡意腳本被有漏洞的SMTP伺服器成功地執行,攻擊者所製作的惡意電子郵件會連到以下網址並下載IRC殭屍程式:
- hxxp://{BLOCKED}.{BLOCKED}.31.165/ex.txt
- hxxp://{BLOCKED}.{BLOCKED}.251.41/legend.txt
- hxxp://{BLOCKED}.{BLOCKED}.175.145/ex.sh
到目前為止所發現的IRC殭屍程式都是由Perl撰寫。ex.txt和ex.sh是同一個檔案,只是名稱不同。
圖2、「JST Perl IrcBot」下載的程式原始碼
「JST Perl IrcBot」透過端口6667、3232和9999連到命令與控制(C&C)IRC伺服器。殭屍程式會執行以下行為,危害受影響系統的安全:
- 從網址下載檔案
- 發送郵件
- 掃描端口
- 執行分散式拒斷服務(DDoS)攻擊
- 執行Unix指令
這種SMTP伺服器攻擊已經出現在臺灣、德國、美國和加拿大等國家。
圖3、存取惡意軟體網站最多的國家
