Shellshock/bash 漏洞 - 資安趨勢部落格

在Shellshock/bash 漏洞（包含在CVE-2014-7169）新聞爆發後短短幾個小時就出現了真實的漏洞攻擊事件。這一個漏洞可以讓人執行任意程式碼，從而影響系統安全。攻擊者可能做出的包括變更網站內容和網站程式碼、污損網站外貌，甚至是從資料庫竊取使用者資料以及其他更多事情。

趨勢科技發現了真實漏洞攻擊碼所帶來惡意軟體的樣本。偵測為ELF_BASHLITE.A（也被稱為ELF_FLOODER.W），此惡意軟體可以發動分散式阻斷服務（DDoS）攻擊。它所會執行的指令包括有：

PING
GETLOCALIP
SCANNER
HOLD 暫停或是延後攻擊一給定時間
JUNK 垃圾洪水攻擊
UDP 用UDP封包做分散式阻斷服務攻擊
TCP 用TCP封包做分散式阻斷服務攻擊
KILLATTK – 終止攻擊執行緒
LOLNOGTFO – 終止僵屍機器人

它也可以做到暴力法登入，讓攻擊者可以取得登入使用者和密碼的列表。根據我們的分析，ELF_BASHLITE.A也會連到 C&C伺服器 – 89[點]238[點]150[點]154[冒號]5。

圖1、威脅感染示意圖（點入以看大圖）

下面是用來帶入惡意軟體進到系統的程式碼：繼續閱讀

在前面的部落格文章中，我們提到Shellshock/ Bash 漏洞針對某些機構發動DDoS攻擊，可以看出此漏洞對於現實世界影響的嚴重性。 Shellshock/ Bash 漏洞攻擊程式所帶來的各種不同惡意程式（PERL_SHELLBOT.WZ、ELF_BASHLITE.A、ELF_BASHLET.A）會連到幾個相同的C&C伺服器。

對於那些剛剛加入的朋友，Shellshock/ Bash 漏洞是個 Bash shell上的漏洞，Bash是讓使用者透過命令列來存取系統服務的使用者介面。如果用在惡人之手，攻擊者可以利用Shellshock在線上系統和伺服器執行惡意腳本 – 危害一切連到這些地方的東西。而且別誤會，此漏洞是很有可能被廣泛地用在破壞上，因為它影響到Linux、BSD和Mac OS X的作業系統。

一個和 ELF_BASHLITE.SM 及 ELF_BASHLITE.A 相關的 C&C伺服器 – 89[點]238[點]150[點]154[冒號]5，我們發現它也被 ELF_BASHWOOP.A所使用，被用在進行「Botnet傀儡殭屍網路」網路攻擊的後門程式。唯一的區別是它連接的端口 – ELF_BASHWOOP.A連到端口9003，而ELF_BASHLITE.SM連到端口5。根據我們的研究結果，此一C&C伺服器位在英國。

另一個C&C伺服器 – 162[點]253[點]66[點]76[冒號]53被ELF_BASHLITE.A和ELF_BASHLITE.SM所用,此C&C伺服器位於美國。

下面是連到這些C&C伺服器的國家列表：