→הורד עכשיו ללא תשלום SCANNER עבור המערכת שלך
החוקרים הזדוניים הבחינו הדהוד אחרונה של Shellshock, Mayhem כמו botnet לינוקס התחיל להתפשט דרך מנצל Shellshock. פושעי הסייבר גילו תורפה מסוימת מתורגמן שורת פקודה של Bash, במטרה להדביק את השרתים עובדים תחת לינוקס עם Mayhem התכנית הזדוני.
מוקדם יותר התגלה השנה, המהומה המתוחכמת הזדונית נותחה בקפידה על ידי חוקרי מ- Yandex, חברת מרוסיה. התוכנה הזדונית מותקנת במחשבים באמצעות סקריפט PHP מיוחד אשר מועלה על ידי התוקפים בשרתים באמצעות סיסמאות FTP שונו, אישורי מנהל באתר-כפוי זרוע ונקודות תורפה באתר אחרת.
המרכיב העיקרי של Mayhem הוא קובץ הספרייה הזדוני הפעלה ואת פורמט Linkable (ELF שנקרא). לאחר ההתקנה נעשית, ההורדות הזדוניות תוספות נוספות ולאחר מכן מאחסנות אותם במערכת קבצים מוצפנת ונסתרת. תוספות אלה מאפשרות פושעי הסייבר להשתמש בשרתים כי הם נגועים כדי להתפשר ואתרי התקפה נוספים.
לדברי החוקרים של Yandex, בחודש יולי botnet כללה יותר 1400 שרתי נגועים עם חיבור לשני בשרתים נפרדים שליטה ובקרה. מוקדם יותר השבוע, החוקרים מן MMD (Malware Must Die) הודיעה כי מחברי Mayhem הוסיפו Shellshock מנצל כדי הנשקייה של botnet שלהם.
Shellshock הוא שם קיבוצי למספר פגיעויות שהתגלו לאחרונה פרשן שורת הפקודה Bash לינוקס. ניתן לנצל נקודות תורפה אלה כדי לספק ביצוע קוד מרחוק על שרתים באמצעות דרך תקיפת מספר כמו פרוטוקול תצורת מארח דינאמי (DHCP), OpenSSH, ממשק שער משותף (CGI), וגם OpenVPN בחלק מהמקרים.
ההתקפות נעשו על ידי Shellshock אף שמקורם שרת אינטרנט יעד botnet Mayhem באמצעות תמיכת CGI. לדברי החוקרים MMD, שרתי האינטרנט לחקור את הרובוטים כדי לקבוע אם הם פגיעים הליקויים Bash ולאחר מכן לנצל את שרתי האינטרנט כדי לבצע סקריפט פרל. התסריט הזה יש קבצים בינאריים Mayhem ELF זדוניות עבור ארכיטקטורות CPU 32 ביט ו 64 ביט, אשר מוטבע בו בצורה של נתונים הקסדצימלי ואז הפונקציה LD_PRELOAD לחלץ ולהפעיל קבצים אלו על המערכת.
בדיוק כמו בגרסה הקודמת של Mayhem, התוכנות הזדוניות יוצרות מערכת קבצים שמוסתרת וזה מאחסן יש מרכיבים הנוספים שלה – תוספות המשמשות סוגים שונים של סריקה והתקפות נגד שרתים אחרים. החוקרים מן MDL חושבים שאחד הרכיבים האלה עודכנה וכעת משמשת מנצל Shellshock החדש. למרות זאת, זה לא אישר עדיין.
התאוריה מגובית על ידי העובדה כי חלק מן התקפות Shellshock כי נצפו מקורן כתובות פרוטוקול האינטרנט קשורים הבוטה Mayhem הזמין בנוסף לכתובות IP חדשות שמגיעים ממדינות שונות כגון בריטניה, אוסטריה, פולין, שוודיה, אינדונזיה ואוסטרליה. Malware Must Die חוקרים שתף את המידע שהם אספו עם הצוותות לתגובת חירום מחשב לאומי (certs).
מידה רבה של הפצות לינוקס לבוא עם טלאים עבור פגיעויות Shellshock, אולם רב שירתו אינטרנט בניהול עצמי אינם מוגדרים על מנת לפרוס עדכונים אוטומטיים. בנוסף, ישנם מוצרים שונים עסק והתקנים משובצים המבוססים על לינוקס הכוללים שרתי אינטרנט והם Shellshock פגיעים. מוצרים אלה יכולים גם להיות מטרות אם טלאים עבורם לא נפרסו ואינם זמינים עדיין.