从周四开始,数家安全公司报告了利用最近披露的GNU Bash (CVE-2014-6271)漏洞,即众所周知的Shellshock的攻击数量急剧上升。
在周五,外国人库实验室报道该漏洞被两个攻击者利用,在受害系统上安装了两个不同的恶意软件。其中一个恶意负载将加入受害者的系统,进入一个僵尸网络,该网络基于IRC通道的流量,可能是由一个来自罗马尼亚的组织运行的。另一个载荷在受害者的系统上留下指纹,打开后门,进行远程访问。
安全公司Incapsula报道,因为弹震透露,周三,他们已经观察到的17000多个攻击(平均每小时725个攻击)。
在一个博客文章该公司说,已经有1800多个域名成为攻击目标,这些攻击的源头分布在400个IP地址之间。大部分受攻击的IP地址被分配给了中国和美国的系统
“我们在这里看到的是黑客利用现有的僵尸网络来创建新的僵尸网络:从受损的服务器上运行自动化的脚本,将更多被劫持的机器添加到他们的集群中。在过去的24小时里,我们看到一些僵尸网络管理员使用了重新设计的DDoS机器人,试图利用Shellshock漏洞获得服务器访问权限,”Incapsula网站解释道。
趋势科技(Trend Micro)的研究人员做到了记录了自周五以来的几起袭击,包括外国人Vault和Incapsula发现僵尸网络攻击。当天晚些时候,他们还检测到,似乎已经被弹震受损的服务器DDoS攻击(基于它们运行的代码)。此外,趋势还透露,在巴西的几个官方机构正在通过在寻找弹震有关的开口扫描仪的目标。
“它似乎没有任何真正的有效载荷,也没有造成任何真正的破坏,然而,它只获取了似乎是它试图渗透的系统的信息。但在网络犯罪和网络攻击的世界里,这种情况可能很快就会改变。”我们相信,信息收集可能是为更大规模、更具破坏性的攻击做准备的一个迹象。”Trend在谈到巴西的扫描时表示。
周六,FireEye公布细节相关的几个概念验证脚本弹震症,这在理论上允许攻击者执行许多任务,包括点击欺诈,建立反向壳(有或没有Perl),电子邮件侦察,获取系统的/ etc / passwd文件(密码),僵尸网络的创建(几个变种),和UDP洪水。
"We suspect bad actors may be conducting an initial dry run, in preparation for a real, potentially larger-scale attack. We believe it’s only a matter of time before attackers exploit the vulnerability to redirect users to malicious hosts, which can result in further compromise,"FireEye写道。
当Shellshock漏洞在周三被披露时,几乎所有的Linux / UNIX发行版都发布了修正该问题的补丁。然而,研究人员很快确定它们是不完整的,留下补丁的系统暴露在原始攻击载体的变化下。
这导致了另外四个CVE劝告的发布(CVE-2014-7169、CVE-2014-7186、CVE-2014-7187和CVE-2014-6277),但是鼓励管理员和系统操作员使用所有最新补丁更新GNU Bash,并在它们发布时应用附加补丁。到目前为止,已经有了GNU Bash的三个更新自从问题被公开披露后。
最后,苹果解决弹震在本周末的一份声明中他指出,“绝大多数”OS X用户并不存在风险,因为OS X系统“在默认情况下是安全的,除非用户配置了高级UNIX服务,否则不会受到[GNU Bash]的远程攻击”。
对于那些启用了高级服务的用户,苹果正在进行更新。
这个故事,“对Shellshock的攻击随着更新的补丁攻击网络而继续”最初是由CSO 。
