→TELECHARGER SCANNER MAINTENANT GRATUIT POUR VOTRE SYSTÈME
Les chercheurs de malwares repéré une réverbération récente de la Shellshock, que le botnet Linux Mayhem commencé à se répandre à travers les exploits Shellshock. Les cybercriminels ont découvert certaines vulnérabilités dans l'interpréteur de ligne de commande de Bash, visant à infecter les serveurs travaillant sous Linux avec le Mayhem de programme malveillant.
Découvert plus tôt cette année, le malware sophistiqué Mayhem a été soigneusement analysé par des chercheurs de Yandex, une société de la Russie. Le malware est installé dans les ordinateurs via un script spécial PHP qui est téléchargé par les assaillants sur des serveurs à travers les mots de passe FTP modifiés, pouvoirs d'administration du site brute forcée et différentes failles des sites Web.
La principale composante de Mayhem est le fichier de bibliothèque illicite Executable and Linkable Format (appelé ELF). Une fois l'installation terminée, les téléchargements de logiciels malveillants plug-ins supplémentaires, puis les stocke dans un système de fichier crypté et caché. Ces plug-ins permettent aux cybercriminels d'utiliser les serveurs qui sont infectés afin de compromettre et d'attaque des sites supplémentaires.
Selon les chercheurs de Yandex, en Juillet le botnet est composée de plus de 1400 serveurs infectés avec connexion à deux serveurs distincts de commandement et de contrôle. Plus tôt cette semaine, les chercheurs du MMD (Malware Must Die) a annoncé que les auteurs de Mayhem ont ajouté exploits Shellshock à l'arsenal de leur botnet.
Shellshock est un nom collectif pour plusieurs vulnérabilités qui ont été récemment découverts dans l'interpréteur de ligne de commande Linux Bash. Ces vulnérabilités peuvent être exploitées pour fournir l'exécution de code à distance sur des serveurs à travers plusieurs vecteurs d'attaque comme Dynamic Host Configuration Protocol (DHCP), OpenSSH, Common Gateway Interface (CGI), et également OpenVPN dans certains des cas.
Les attaques effectuées par Shellshock sont originaires des serveurs Mayhem cible botnet Web grâce au soutien de CGI. Selon les chercheurs MMD, les serveurs Web sondent les robots collecteurs de déterminer si elles sont vulnérables aux failles dans Bash et exploitent les serveurs Web pour exécuter un script Pearl. Ce script a fichiers binaires malveillants Mayhem ELF pour les 32-bits et 64-bits architectures CPU, qui sont intégrées dans ce sous la forme de données hexadécimales et ensuite la fonction de LD_PRELOAD pour extraire et exécuter ces fichiers sur le système.
Tout comme dans la version précédente de Mayhem, le malware crée un système de fichiers qui est caché et il stocke il ses composants supplémentaires – plug-ins qui sont utilisés dans divers types d'analyse et d'attaques contre d'autres serveurs. Les chercheurs de MDL pensent que l'un de ces composants a été mis à jour et maintenant utilisée dans les nouveaux exploits Shellshock. Cependant, ce ne est pas encore confirmé.
La théorie est soutenue par le fait que certaines des attaques Shellshock qui ont été observés proviennent des adresses de protocole Internet qui sont associés avec les bots Mayhem disponibles en plus de nouvelles adresses IP qui viennent de différents pays comme le Royaume Uni, Autriche, Pologne, Suède, Indonésie et l'Australie. Malware Must Die chercheurs ont partagé les informations qu'ils ont recueillies avec les équipes d'intervention d'urgence informatique national (CERT).
Une grande partie des distributions Linux viennent avec des correctifs pour les vulnérabilités Shellshock, Cependant de nombreux serveurs web autogérés ne sont pas configurés pour déployer les mises à jour automatiquement. En outre, il existe divers produits de l'entreprise et les périphériques intégrés basés sur Linux qui incluent les serveurs Web et qui sont vulnérables Shellshock. Ces produits peuvent également être des cibles si des correctifs pour eux ne ont pas été déployés et sont pas encore disponibles.