→DOWNLOAD NU gratis scanner til dit system
Malware forskere spottet en nylig efterklang af Shellshock, som Linux botnet Mayhem begyndt at sprede gennem Shellshock exploits. De cyberkriminelle har opdaget visse sårbarheder i kommando-linje fortolker af Bash, til formål at inficere serverne arbejder under Linux med malware program Mayhem.
Opdaget tidligere i år, den sofistikeret malware Mayhem blev omhyggeligt analyseret af forskere fra Yandex, et selskab fra Rusland. Den malware er installeret i computere via en speciel PHP-script, der er uploadet af angriberne på servere gennem ændrede FTP passwords, brute-tvungen administration af webstedet legitimationsoplysninger og forskellige website sårbarheder.
Hovedbestanddelen af Mayhem er ondsindet bibliotek filen eksekverbar og Linkable Format (kaldet ELF). Når installationen er færdig, malware downloads yderligere plug-ins og derefter gemmer dem i en krypteret og skjult filsystem. Disse plug-ins gør det muligt for cyberkriminelle at bruge de servere, der er inficeret med henblik på at gå på kompromis og angribe yderligere lokaliteter.
Ifølge forskerne fra Yandex, i juli botnet bestod af mere end 1400 inficerede servere med forbindelse til to separate servere for kommando og kontrol. Tidligere i denne uge, forskerne fra MMD (Malware Must Die) meddelte, at forfatterne af Mayhem har tilføjet Shellshock exploits til deres botnet arsenal.
Shellshock er en fællesbetegnelse for en række sårbarheder, som for nylig blev opdaget i kommandolinjen tolk Linux Bash. Disse sårbarheder kan udnyttes til at give fjernkørsel på servere gennem flere angrebsvektorer som Dynamic Host Configuration Protocol (DHCP), OpenSSH, Common Gateway Interface (CGI), og også OpenVPN i nogle af tilfældene.
Angrebene udført af Shellshock har oprindelse fra Mayhem botnet mål webservere via CGI understøttelse. Ifølge de MMD forskere, webservere sonde bots at afgøre, om de er sårbare over for fejl i Bash og derefter udnytte de webservere til at udføre en Pearl script. Det script har ondsindede Mayhem ELF binære filer til 32-bit og 64-bit CPU arkitekturer, som er indlejret i det i form af hexadecimale data, og derefter LD_PRELOAD funktion til at udtrække og køre disse filer på systemet.
Ligesom i den tidligere version af Mayhem, malware opretter en fil, der er skjult, og det gemmer der dens yderligere komponenter – plug-ins, der bruges i forskellige typer af scanning og angreb mod andre servere. Forskerne fra MDL tror, at en af disse komponenter er blevet opdateret og nu anvendes i de nye Shellshock exploits. Dog, dette er ikke bekræftet endnu.
Teorien understøttes af det faktum, at nogle af de Shellshock angreb, der er blevet observeret stammer fra Internet Protocol adresser, der er forbundet med de tilgængelige Mayhem bots foruden nye IP-adresser, der kommer fra forskellige lande som UK, Østrig, Polen, Sverige, Indonesien og Australien. Malware Must Die forskere har delt de oplysninger, de har indsamlet med holdene for national Computer Emergency Response (CERT).
En stor del af de Linux-distributioner kommer med patches til Shellshock sårbarheder, Men mange selvforvaltende webservere ikke er konfigureret til at implementere opdateringer automatisk. Desuden, der er forskellige virksomhedens produkter og indlejrede enheder baseret på Linux, som omfatter webservere og er Shellshock sårbare. Disse produkter kan også være mål, hvis patches for dem ikke er blevet indsat, og er ikke tilgængelige endnu.