从周四开始,几家安全公司报告称,利用最近披露的GNU Bash漏洞(CVE-2014-6271)的攻击数量急剧上升,该漏洞被广泛称为Shellshock。
星期五,Alien Vault实验室报告有两名攻击者利用该漏洞在受害者系统上安装了两款不同的恶意软件。其中一个恶意负载会将受害者的系统连接到一个僵尸网络,该僵尸网络基于IRC频道的流量,很可能是由罗马尼亚的一个组织运行的。另一个有效载荷在受害者的系统上留下指纹然后打开后门,实现远程访问。
Security Firm Propacalula报道,他们在周三披露ShellShock以来,他们观察到超过17,000次攻击(平均每小时725次攻击)。
在一个博客帖子该公司表示,已有1800多个域名遭到攻击,攻击源分散在400个IP地址之间。大部分被攻击的IP地址都分配给了中国和美国的系统
“我们在这里看到的是黑客利用现有的僵尸网络创建新的僵尸网络:从被入侵的服务器运行自动脚本,将更多被劫持的机器加入他们的网络。在过去的24小时里,我们看到几个僵尸网络牧羊人使用重新设计的DDoS机器人,试图利用Shellshock的漏洞获得服务器访问权限。”Incapsula网站的帖子解释道。
趋势科技的研究人员已经做到了记录了周五以来的几起袭击,包括Alien Vault和Thepassze发现的僵尸网络攻击。在当天晚些时候,他们还检测到从ShellShock遭受损害的服务器的DDOS攻击(基于运行在它们上的代码)。此外,趋势还透露,巴西的几家官方机构被正在寻找与炮弹相关的开口的扫描仪为目标。
“它似乎没有任何真正的有效载荷或造成任何真正的破坏,然而,它只是获取了它试图渗透的系统的信息——但在网络犯罪和网络攻击的世界里,这种情况可能很快就会改变。”我们认为,收集信息可能是为更大规模、更具破坏性的攻击做准备的迹象。”
周六,FireEye发布了几个与Shellshock相关的概念验证脚本的详细信息,理论上,它允许攻击者执行许多任务,包括:点击欺诈、建立反向shell(使用或不使用Perl)、电子邮件侦察、捕获系统的/etc/passwd(密码)文件、僵尸网络创建(几种变体)和UDP洪水。
"We suspect bad actors may be conducting an initial dry run, in preparation for a real, potentially larger-scale attack. We believe it’s only a matter of time before attackers exploit the vulnerability to redirect users to malicious hosts, which can result in further compromise,"FireEye写道.
当Shellshock漏洞在周三被披露时,几乎所有的Linux / UNIX发行版都发布了修正该问题的补丁。然而,研究人员很快确定它们是不完整的,这使得修补过的系统暴露在原始攻击载体的变异中。
这导致了4个额外的CVE警告(CVE-2014-7169、CVE-2014-7186、CVE-2014-7187和CVE-2014-6277)的发布,但鼓励管理员和系统操作员使用所有最新的补丁更新GNU Bash,并在发布时应用额外的补丁。到目前为止,已经有了GNU Bash的三个更新因为问题被公开披露。
最后,Apple寻址ShellShock在本周末的一份声明中他指出,“绝大多数”OS X用户并不存在风险,因为OS X系统“默认情况下是安全的,不会受到[GNU Bash]的远程攻击,除非用户配置高级UNIX服务。”
对于那些启用了高级服务的用户,苹果正在进行升级。
这篇文章,“针对Shellshock的攻击继续,因为更新补丁攻击了网络”最初是由CSO .
