→SCARICA SCANNER SUBITO GRATIS PER SISTEMA
I ricercatori di malware avvistato un recente riverbero del Shellshock, come la botnet Linux Mayhem ha cominciato a diffondersi attraverso exploit Shellshock. I criminali informatici hanno scoperto alcune vulnerabilità in l'interprete della riga di comando di Bash, l'obiettivo di infettare i server che lavorano sotto Linux con il programma Mayhem di malware.
Scoperto all'inizio di quest'anno, la sofisticata Mayhem malware è stato accuratamente analizzato da ricercatori Yandex, una società dalla Russia. Il malware viene installato nei computer attraverso uno speciale script PHP che viene caricato dagli aggressori su server tramite password FTP alterati, credenziali di amministrazione del sito brute-forzato e diverse vulnerabilità dei siti Web.
Il componente principale della Mayhem è il file di libreria dannoso eseguibile e Format Linkable (chiamata ELF). Una volta che l'installazione è fatta, i download di malware plug-in e poi li memorizza in un file system criptato e nascosto. Questi plug-in consentono ai cybercriminali di usare i server che sono infettati per compromettere e attaccare altri siti.
Secondo i ricercatori di Yandex, nel mese di luglio la botnet costituita da più di 1400 server infetti con connessione a due server separati per il comando e controllo. All'inizio di questa settimana, i ricercatori di MMD (Malware Must Die) ha annunciato che dei Mayhem gli autori hanno aggiunto exploit Shellshock per armeria del loro botnet.
Shellshock è un nome collettivo per diverse vulnerabilità che sono stati recentemente scoperti in l'interprete della riga di comando di Linux Bash. Queste vulnerabilità possono essere sfruttate per fornire esecuzione di codice remoto su server attraverso diversi vettori di attacco, come Dynamic Host Configuration Protocol (DHCP), OpenSSH, Common Gateway Interface (CGI), e anche OpenVPN in alcuni dei casi.
Gli attacchi effettuati da Shellshock siano originari dai server Web Mayhem obiettivo botnet attraverso il sostegno CGI. Secondo i ricercatori MMD, i server web sondare il bot per determinare se sono vulnerabili ai difetti Bash e quindi sfruttare i server web per eseguire uno script Pearl. Questo script ha malevoli Mayhem ELF file binari per le architetture di CPU a 32-bit e 64-bit, che sono incorporati in esso in forma di dati esadecimali e quindi la funzione LD_PRELOAD per estrarre ed eseguire questi file sul sistema.
Proprio come nella versione precedente di Mayhem, il malware crea un file system che è nascosto e memorizza lì le sue componenti aggiuntivi – plug-in che sono utilizzati in vari tipi di scansione e di attacchi contro altri server. I ricercatori pensano MDL che uno di questi componenti è stato aggiornato e ora utilizzato nei nuovi exploit Shellshock. Tuttavia, questo non è ancora confermato.
La teoria è sostenuta dal fatto che alcuni degli attacchi Shellshock che sono stati osservati provengono da indirizzi Internet Protocol associati bot disponibili Mayhem oltre ai nuovi indirizzi IP che vengono da diversi paesi come UK, Austria, Polonia, Svezia, Indonesia e l'Australia. Malware Must Die ricercatori hanno condiviso le informazioni che hanno raccolto con le squadre per gli interventi di emergenza informatica nazionale (CERT).
Una grande quantità di distribuzioni Linux vengono con le patch per le vulnerabilità Shellshock, tuttavia molti server web autogestiti non sono configurati in modo da distribuire automaticamente gli aggiornamenti. In aggiunta, ci sono vari prodotti aziendali e dispositivi embedded basati su Linux che comprendono i server web e sono Shellshock vulnerabili. Questi prodotti possono anche essere obiettivi se le patch per loro non sono stati distribuiti e non sono ancora disponibili.