Shellshock dál útočí na linuxové systémy, hojně jej využívají botnety

13. 10. 2014

Sdílet

 Autor: © chanpipat - Fotolia.com
Útočníci v čím dál vyšší míře využívají nedávno objevené díry v příkazovém řádku Bash a infikují tak linuxové servery sofistifikovaným červem známým jako Mayhem.

Mayhem byl objeven dříve v tomto roce a komplexně popsán experty z ruské bezpečnostní firmy Yandex. Červ se instaluje skrze PHP skript, který útočníci nahrají na servery díky kradeným FTP heslům či skrze díry, které naleznou v kódu webových stránek.

Hlavním prvkem Mayhemu je knihovna ELF (Executable and Linkable Format), která po instalaci stáhne další přídavky a uloží je ve skrytém a zašifrovaném souborovém systému. Stáhnuté přídavky umožní útočníkům využívat nově infikované servery k dalším útokům.

V červnu tohoto roku odborníci ze společnosti Yandex odhadli, že botnet vytvořený ze serverů infikovaných Mayhemem, se skládá z asi 1 400 serverů, jimž chodí pokyny od dvou oddělených serverů. Výzkumníci z nezávislé organizace Malware Must Die (MMD) minulý týden oznámili, že autoři Mayhemu přidali do "arzenálu" botnetu i exploity Shellshock.

Shellshock je souhrnné jméno pro několik bezpečnostních děr objevených nedávno v linuxovém Bashe, které lze zneužít ke spuštění kódu nadálku skrze CGI (Common Gateway Interface), OpenSSH, DHCP (Dynamic Host Configuration Protocol) a v některých případech i OpenVPN.

Shellshockové útoky přicházející z botnetu serverů infikovaných Mayhemem se zaměřují na webové servery s podporou CGI. Boty kontrolují jednotlivé webové servery a zjišťují, zda je možné na ně zaútočit skrze díru v Bashi a následně tuto díru zneužijí pomocí skriptu napsaném v Perlu.

Ten obsahuje škodlivé binární ELF soubory Mayhemu pro 32-bitové i 64-bitové procesory vložené v jeho hexadecimálních datech a používá funkci LD-PRELOAD k jejich rozbalení a spuštění na systému. Stejně jako u předchozí verze, i nyní je vytořen skrytý souborový systém, kde jsou ukládány další komponenty - přídavky - jež jsou využívány pro různé typy skenů a útoků na další servery.

Výzkumníci z MDM si myslí, že jedna z těchto komponent byla aktualizována k využití nových exploitů Shellshock, i když to zatím není potvrzeno.

bitcoin_skoleni

Tuto teorii však podporuje fakt, že některé ze sledovaných pokusů o útok pomocí Shellshocku přicházely z IP adres známých botů infikovaných Mayhemem ve Velké Británii, Indonésii, Polsku, Rakousku, Austrálii a Švédsku. Výzkumníci z MMD všechny dostupné informace předali organizacím CERT.

Většina distribucí Linuxu již na díry v Shellshocku vydala patche, avšak mnoho webových serverů není nastaveno tak, aby si tyto aktualizace stahovaly a instalovaly samy. Riziko je tedy stále velké.