→BAIXAR AGORA GRÁTIS SCANNER PARA SEU SISTEMA
Os pesquisadores de malware descoberto uma reverberação recente do Shellshock, como o botnet Linux Mayhem começou a se espalhar através de exploits Shellshock. Os cibercriminosos descobriram certas vulnerabilidades no interpretador de linha de comando do Bash, com o objetivo de infectar os servidores que trabalham no Linux com o Mayhem programa de malware.
Descoberto no início deste ano, o sofisticado Mayhem malwares foi cuidadosamente analisado por pesquisadores do Yandex, uma empresa da Rússia. O malware é instalado nos computadores através de um script PHP especial que é carregado pelos agressores em servidores por meio de senhas FTP alterados, credenciais de administração do site forçado-bruta e diferentes vulnerabilidades de sites.
O principal componente do Mayhem é o arquivo de biblioteca malicioso executável e Format Linkable (chamado ELF). Uma vez que a instalação é feita, os downloads de malware plug-ins adicionais e, em seguida, armazena-os em um sistema de arquivo criptografado e escondido. Esses plug-ins permitem que os criminosos cibernéticos para usar os servidores que estão infectados, a fim de comprometer e atacam sites adicionais.
De acordo com os pesquisadores de Yandex, em julho, a botnet consistia em mais de 1400 servidores infectados com ligação a dois servidores separados para comando e controle. No início desta semana, os pesquisadores da MMD (Malware Must Die) anunciou que os autores do Mayhem acrescentaram exploits Shellshock ao arsenal do seu botnet.
Shellshock é um nome coletivo para várias vulnerabilidades que foram descobertos recentemente na linha de comando intérprete Linux Bash. Essas vulnerabilidades podem ser exploradas para fornecer execução remota de código em servidores através de vários vetores de ataque como o Dynamic Host Configuration Protocol (DHCP), OpenSSH, Common Gateway Interface (CGI), e também OpenVPN em alguns dos casos.
Os ataques feitos por Shellshock são provenientes os servidores Web alvo botnet Mayhem através do apoio CGI. Segundo os pesquisadores MMD, os servidores web sondar os bots para determinar se eles são vulneráveis a falhas em Bash e depois explorar os servidores web para executar um script Pérola. Esse script tem maliciosos arquivos binários ELF Mayhem para os de 32 bits e 64 bits arquiteturas de CPU, que são incorporados a ele sob a forma de dados hexadecimais e, em seguida, a função de LD_PRELOAD para extrair e executar estes ficheiros no sistema.
Assim como na versão anterior do Mayhem, o malware cria um sistema de arquivos que está escondido e armazena lá seus componentes adicionais – plug-ins que são usados em vários tipos de digitalização e ataques contra outros servidores. Os pesquisadores do MDL pensar que um desses componentes foi atualizado e agora usado nos novos exploits Shellshock. Contudo, este ainda não está confirmada.
A teoria é apoiada pelo fato de que alguns dos ataques Shellshock que têm sido observados se originam a partir de endereços de Protocolo de Internet que estão associados com os bots disponíveis Mayhem, além de novos endereços IP que vêm de diferentes países, como Reino Unido, Áustria, Polônia, Suécia, Indonésia e Austrália. Malware Must Die pesquisadores têm compartilhado as informações que eles se reuniram com as equipes para computador nacional de resposta de emergência (CERT).
Uma grande parte das distribuições Linux vem com correções para as vulnerabilidades Shellshock, No entanto, muitos servidores web autogeridas não estão configurados para implantar atualizações automaticamente. Além, existem vários produtos corporativos e dispositivos embarcados baseados em Linux que incluem servidores web e são Shellshock vulnerável. Estes produtos podem também ser alvos se patches para eles não tenham sido implantados e ainda não estão disponíveis.