Mayhem - Ausgefeilte Malware infizieren Linux durch Shellshock Exploits

Mayhem - Ausgefeilte Malware infizieren Linux durch Shellshock Exploits

Jetzt downloaden SCANNER für Ihr System

Die Malware-Forscher entdeckt eine aktuelle Nachhall der Shellshock, als Linux Botnet Mayhem breitete sich durch Shellshock Exploits. Die Cyberkriminellen haben gewisse Schwachstellen in der Befehlszeilen-Interpreter von Bash entdeckt, mit dem Ziel, die Server unter Linux mit dem Malware-Programm Mayhem infizieren.

Entdeckt in diesem Jahr, die sophisticate Malware Mayhem wurde sorgfältig von den Forschern von Yandex untersucht, ein Unternehmen aus Russland. Die Malware wird in den Computer durch eine spezielle PHP-Skript, das von den Angreifern auf Servern durch veränderte FTP-Passwörter hochgeladen installiert, Brute-Zwangs Website Verwaltung von Anmeldeinformationen und anderen Schwachstellen Website.

Die Hauptkomponente des Mayhem ist die bösartige Bibliotheksdatei Executable and Linking Format (genannt ELF). Sobald die Installation abgeschlossen ist, die Malware-Download zusätzliche Plug-Ins und speichert sie in einer verschlüsselten und versteckte Dateisystem. Diese Plug-Ins ermöglichen es den Cyber-Kriminellen, um die Server, um Kompromisse und Angriff weitere Standorte sind infiziert verwenden.

Nach Angaben der Forscher von Yandex, im Juli das Botnetz bestand aus mehr als 1400 infizierte Server mit Anschluss an zwei separate Server für die Steuerung. Anfang dieser Woche, die Forscher von MMD (Die Malware Muss) gab bekannt, dass die Autoren der Mayhem haben Shellshock Exploits ihre Botnet Waffenkammer hinzugefügt.

Shellshock ist ein Sammelname für einige Schwachstellen, die vor kurzem in der Befehlszeilen-Interpreter Bash Linux entdeckt wurden. Diese Schwachstellen können ausgenutzt werden, um die Remotecodeausführung auf Servern über mehrere Angriffsvektoren wie Dynamic Host Configuration Protocol liefern (DHCP), OpenSSH, Common Gateway Interface (CGI), sowie OpenVPN in einigen der Fälle.

Die Angriffe von Shellshock gemacht werden von den Mayhem Botnet Ziel-Web-Server über CGI-Unterstützung Ursprung. Nach den MMD Forscher, die Web-Server zu sondieren die Bots zu bestimmen, ob sie anfällig für die Mängel in Bash sind und dann nutzen die Web-Server, um eine Perle Skript ausführen. Das Skript hat bösartige Mayhem ELF Binärdateien für die 32-Bit- und 64-Bit-CPU-Architekturen, die in sie in Form von hexadezimalen Daten und dann die LD_PRELOAD-Funktion eingebettet sind, um das System zu extrahieren und führen diese Dateien.

Genau wie in der vorherigen Version von Mayhem, die Malware erstellt ein Dateisystem, das verborgen ist und speichert es seine Zusatzkomponenten – Plug-Ins, die in verschiedenen Arten von Scannen und Angriffe auf andere Server eingesetzt werden. Die Forscher aus MDL denken, dass eine dieser Komponenten aktualisiert wurde und nun in den neuen Shellshock Exploits verwendet. Jedoch, Dies ist noch nicht bestätigt.

Die Theorie wird durch die Tatsache gestützt, dass einige der Shells Angriffe, beobachtet wurden stammen vom Internet-Protokoll-Adressen, die mit den verfügbaren Verstümmelung Bots zusätzlich zu den neuen IP-Adressen, die von verschiedenen Ländern wie Großbritannien kommen verbundenen, Österreich, Polen, Schweden, Indonesien und Australien. Malware Must Die Forscher haben die Informationen, die sie mit den Teams der nationalen IT-Notfalldiensten gesammelt geteilt (CERTs).

Ein großer Teil der Linux-Distributionen mit Patches für die Schwachstellen Shellshock kommen, aber viele selbstverwaltete Webserver nicht um Updates automatisch bereitstellen konfiguriert. Außerdem, gibt es verschiedene Unternehmensprodukte und Embedded Systems auf Basis von Linux, die Web-Server gehören, und sind anfällig Shellshock. Diese Produkte können auch Ziele, wenn Patches für sie nicht im Einsatz und sind noch nicht verfügbar.

Jetzt downloaden SCANNER für Ihr System