→Download nu GRATIS SCANNER voor uw systeem
De malware onderzoekers gespot een recente galm van de Shellshock, als de Linux botnet Mayhem begonnen met het verspreiden via Shellshock exploits. De cybercriminelen hebben ontdekt bepaalde kwetsbaarheden in de command-line interpreter van Bash, gericht op de servers werken onder Linux met de malware programma Mayhem infecteren.
Ontdekte eerder dit jaar, de verfijnde malware Mayhem werd zorgvuldig geanalyseerd door onderzoekers van Yandex, een bedrijf uit Rusland. De malware is in de computers geïnstalleerd via een speciale PHP-script dat wordt geüpload door de aanvallers op servers via veranderd FTP wachtwoorden, -brute gedwongen sitebeheer geloofsbrieven en andere website kwetsbaarheden.
De belangrijkste component van Mayhem is de kwaadaardige bibliotheek bestand Executable and Linking Format (riep ELF). Nadat de installatie is voltooid, de malware downloads extra plug-ins en vervolgens slaat ze op in een versleuteld en verborgen bestandssysteem. Deze plug-ins maken het cybercriminelen om de servers die besmet zijn om compromissen te sluiten en aan te vallen extra sites gebruiken.
Volgens de onderzoekers van Yandex, in juli het botnet bestond uit meer dan 1400 geïnfecteerde servers met aansluiting op twee afzonderlijke servers voor commando en controle. Eerder deze week, de onderzoekers van MMD (Malware Must Die) kondigde aan dat de auteurs van Mayhem Shellshock exploits hebben toegevoegd aan het arsenaal van hun botnet.
Shellshock is een verzamelnaam voor een aantal kwetsbaarheden die onlangs werden ontdekt in de command-line interpreter Linux Bash. Deze kwetsbaarheden kunnen worden benut om het uitvoeren van externe code op servers via verschillende aanvalsvectoren zoals Dynamic Host Configuration Protocol (DHCP), OpenSSH, Common Gateway Interface (CGI), en ook OpenVPN in sommige gevallen.
De aanvallen gedaan door Shellshock zijn afkomstig van de Mayhem botnet doel webservers door middel van CGI ondersteuning. Volgens de MMD onderzoekers, de webservers sonde de bots om te bepalen of ze kwetsbaar zijn voor de gebreken in Bash en dan gebruik maken van de web servers naar een Pearl script uit te voeren. Dat script heeft kwaadaardige Mayhem ELF binaire bestanden voor de 32-bit en 64-bit CPU architecturen, die zijn ingebed in het in de vorm van hexadecimale gegevens en vervolgens de LD_PRELOAD functie extraheren en draaien deze bestanden op het systeem.
Net als in de vorige versie van Mayhem, de malware maakt een bestand dat wordt verborgen en slaat er zijn extra onderdelen – plug-ins die worden gebruikt in verschillende typen van het scannen en aanvallen tegen andere servers. De onderzoekers van MDL denken dat een van die onderdelen is vernieuwd en nu gebruikt in de nieuwe Shellshock exploits. Echter, dit is nog niet bevestigd.
De theorie wordt ondersteund door het feit dat sommige Shellshock aanslagen die zijn waargenomen afkomstig Internetprotocoladressen die zijn geassocieerd met de beschikbare Mayhem bots naast nieuwe IP adressen die uit verschillende landen zoals UK, Oostenrijk, Polen, Zweden, Indonesië en Australië. Malware Must Die onderzoekers hebben de gegevens die zij hebben verzameld met de teams voor de nationale computer emergency response gedeeld (CERT).
Een groot deel van de Linux-distributies worden geleverd met patches voor de Shellshock kwetsbaarheden, maar veel in eigen beheer webservers zijn niet om updates automatisch te implementeren geconfigureerd. Bovendien, Er zijn verschillende zakelijke producten en embedded apparaten op basis van Linux die webservers en kunnen worden Shellshock kwetsbaar. Deze producten kunnen ook doelen zijn als pleisters voor hen niet zijn geïmplementeerd en zijn nog niet beschikbaar.