→LAST NED NÅ GRATIS SCANNER for systemet ditt
Malware forskere oppdaget en fersk etterklang av Shellshock, som Linux botnet Mayhem begynte å spre gjennom Shellshock exploits. De nettkriminelle har oppdaget visse sårbarheter i kommandolinje fortolker av Bash, sikte på å infisere servere arbeider under Linux med malware program Mayhem.
Oppdaget tidligere i år, så sofistikert malware Mayhem ble nøye analysert av forskere fra Yandex, et selskap fra Russland. Den malware er installert i datamaskinene gjennom en spesiell PHP-script som er lastet opp av angriperne på servere gjennom endrede FTP passord, brute-tvang nettstedet administrasjons legitimasjon og forskjellige nettsted sårbarheter.
Den viktigste komponenten i Mayhem er ondsinnet bibliotekfilen Kjørbar og Koblingsbar Format (heter ELF). Når installasjonen er ferdig, malware nedlastinger ekstra plug-ins og deretter lagrer dem i en kryptert og skjult fil system. Disse plug-ins aktivere cyber kriminelle å bruke servere som er infisert for å inngå kompromisser og angripe flere nettsteder.
Ifølge forskerne av Yandex, i juli botnet besto av mer enn 1400 infiserte servere med tilknytning til to separate servere kommando og kontroll for. Tidligere denne uken, forskerne fra MMD (Malware Must Die) annonsert at forfatterne av Mayhem har lagt Shellshock exploits til deres botnet arsenalet.
Shellshock er en samlebetegnelse for flere sikkerhetsproblemer som nylig ble oppdaget i kommandolinje tolk Linux Bash. Disse sårbarhetene kan utnyttes til å gi ekstern kjøring av kode på servere gjennom flere angrepsvektorer som Dynamic Host Configuration Protocol (DHCP), OpenSSH, Common Gateway Interface (CGI), og også OpenVPN i noen av tilfellene.
Angrepene utført av Shellshock er opprinnelses fra Mayhem botnet mål webservere gjennom CGI støtte. Ifølge MMD forskere, webservere sondere roboter for å fastslå om de er sårbare for feil i Bash og deretter utnytte webserverne å utføre en Pearl skript. At manuset har ondsinnede Mayhem ELF binærfiler for 32-bits og 64-bits CPU arkitekturer, som er innebygd i det i form av heksadesimale data og deretter LD_PRELOAD funksjon for å trekke ut og kjøre disse filene på systemet.
Akkurat som i forrige versjon av Mayhem, malware skaper et filsystem som er skjult, og den lagrer det dens tilleggskomponenter – plug-ins som brukes i ulike typer skanning og angrep mot andre servere. Forskerne fra MDL tror at en av disse komponentene har blitt oppdatert og nå brukes i de nye Shellshock exploits. Men, dette er ikke bekreftet ennå.
Teorien støttes av det faktum at noen av Shellshock angrep som har blitt observert stammer fra Internet Protocol-adresser som er forbundet med de tilgjengelige Mayhem roboter i tillegg til nye IP-adresser som kommer fra forskjellige land som Storbritannia, Østerrike, Polen, Sverige, Indonesia og Australia. Malware Must Die forskere har delt den informasjonen de har samlet med lagene for nasjonal datamaskin beredskap (Certs).
En stor del av Linux-distribusjonene kommer med oppdateringer for Shellshock sårbarheter, Men mange selvstyrte webservere er ikke konfigurert for å distribuere oppdateringer automatisk. I tillegg, er det ulike bedriftens produkter og innebygde enheter basert på Linux som inkluderer webservere og er Shellshock sårbare. Disse produktene kan også være mål om oppdateringer for dem ikke har vært utplassert og er ikke tilgjengelig ennå.