→LADDA NER DIREKT GRATIS SCANNER för ditt system
Malware forskare upptäckt en ny efterklang av Shellshock, som Linux botnet Mayhem började sprider sig genom Shellshock exploits. De cyberbrottslingar har upptäckt vissa svagheter i kommandoraden tolk för Bash, syftar till att infektera servrarna arbetar under Linux med malware program Mayhem.
Upptäckte tidigare i år, den sofistikerad malware Mayhem noggrant analyseras av forskare från Yandex, ett företag från Ryssland. Det skadliga programmet installeras i datorer genom en särskild PHP-skript som laddas upp av angriparna på servrar genom förändrade FTP-lösenord, brute-tvingades site administration meriter och olika webbplats sårbarheter.
Den viktigaste komponenten i Mayhem är skadlig biblioteksfilen Utförbart och länkbart format (kallas ELF). När installationen är klar, malware nedladdningar ytterligare plug-ins och sedan lagrar dem i en krypterad och dolda filsystem. Dessa plug-ins gör det möjligt för cyberbrottslingar att använda servrar som är infekterade för att kompromissa och attackera ytterligare webbplatser.
Enligt forskare Yandex, i juli botnät bestod av mer än 1400 infekterade servrar med anslutning till två separata servrar för styrning och kontroll. Tidigare i veckan, forskarna från MMD (Malware Must Die) meddelade att författarna förödelse har lagt Shellshock utnyttjar deras botnet arsenal.
Shellshock är ett samlingsnamn för flera sårbarheter som nyligen upptäcktes i kommandoraden tolk Linux Bash. Dessa sårbarheter kan utnyttjas för att ge fjärrkörning av kod på servrar genom flera angreppsvägar som Dynamic Host Configuration Protocol (DHCP), OpenSSH, Common Gateway Interface (CGI), och även OpenVPN i några av fallen.
Attackerna görs av Shellshock har sitt ursprung från Mayhem botnet mål webbservrar via CGI stöd. Enligt MMD forskare, webbservrarna sonden bots för att avgöra om de är utsatta för brister i Bash och sedan utnyttja webbservrar för att utföra en Pearl script. Det script har skadliga Mayhem ELF binärfiler för 32-bitars och 64-bitars CPU-arkitekturer, som är inbäddade i det i form av hexadecimala data och sedan den LD_PRELOAD funktionen för att extrahera och köra dessa filer på systemet.
Precis som i den tidigare versionen av Mayhem, malware skapar ett filsystem som är dolt och det lagrar det dess ytterligare komponenter – plugin-program som används i olika typer av scanning och attacker mot andra servrar. Forskarna från MDL tror att en av dessa komponenter har uppdaterats och nu används i de nya Shellshock bedrifter. dock, Detta är inte bekräftat ännu.
Teorin stöds av det faktum att en del av Shellshock attacker som har observerats härstammar från Internet Protocol-adresser som är associerade med de tillgängliga Mayhem bots förutom nya IP-adresser som kommer från olika länder som Storbritannien, österrike, polen, Sverige, Indonesien och Australien. Malware Must Die forskare har delat den information de har samlat med lagen för den nationella Computer Emergency Response (CERT).
En stor del av Linux-distributioner kommer med patchar för Shellshock sårbarhet, Men många självstyrande webbservrar är inte konfigurerade för att distribuera uppdateringar automatiskt. För övrigt, Det finns olika produkter företag och inbäddade enheter baserade på Linux som omfattar webbservrar och är Shellshock utsatta. Dessa produkter kan också vara mål om patchar för dem inte använts och är inte tillgängliga ännu.