欢迎您光临韦德国际!

韦德国际 > 科技 > Linux僵尸网络Mayhem通过Shellshock漏洞传播

Linux僵尸网络Mayhem通过Shellshock漏洞传播

时间:2020-01-26 23:39

Shellshock 漏洞带来的安全问题不消一会就出现受害者了,Yahoo 向 Future South Technologies 和 SecurityWeek 确认了,有骇客用这漏洞向它最少两个服务器进行攻击。Future South 的 Jonathan Hall 发现了一个来自罗马尼亚的骇客利用 Shellshock 慢慢地劫持包括 Yahoo 在内的多间公司的服务器,并建立「兵工厂」来攻击其他更有价值的目标,尤其是 Yahoo Games。Yahoo 表明「没有证据」显示有任何资料被破坏,所以使用者不用太急修改密码(但我们仍然建议定期修改密码)。公司亦已经把有关的服务器隔离,并把漏洞修复好。以防止再被骇客以 Shellshock 成功入侵。今次的事件可能只是牛刀小试,Hall 说如果骇客更具攻击性,就可能把电邮或其他重要资料一并盗去。[图片来源:Justin Sullivan/Getty Images]

伟德体育1946 ,个资帐号的保全问题近年来已经成为各大网站所需面对的重要课题(望向 LinkedIn 跟 Sony...),不过骇客之所以为骇客,似乎看到门户大开的漏洞不去「提醒」一下好像有点违背自己的职业道德良心,而这次被骇到的公司则是轮到了 Yahoo,目前他们已经在官方声明中表示自己的网站服务器发生了个资保全上的问题,并确认这周内已有超过 40 万组帐号资料遭窃的情况,而这些资料已经被执行破解的骇客给张贴在其网站之上了。重点是,在这份被贴在网络上的资料当中,其实不仅仅有 Yahoo 的帐号密码曝露在风险中而已,因为许多人会用 email 做为帐号,包括 Gmail、AOL、Hotmail、Comcast、MSN、SBC Global、Verizon、BellSouth 与 Live.com 等 email 都曝露在文件中,可以能被不肖利用者测试是否使用相同的密码,所以也有相当大的个资泄露风险。而在这些可能被波及的清单中,要以 Google 的反应最快,据发言人表示,已经将受影响的帐号密码重设。虽说执行此次攻击的骇客组织 D33D 表示,他们其实是希望这些拥有重要个人资料的各大网站能够承担起责任,好好保全这些理应被严加看管的资料,而 Yahoo 的服务器却是漏洞百出,所以他们才会做出这次的示警行动,不过他们也不希望该网站将此视为威胁,反而更应该当作是一次有惊无险的提醒。简单地说,就是除了对 Yahoo 做出的「提醒」外,他们并不打算利用这些骇来的资料从事其他的用途,并且也不打算对外公布服务器的弱点所在,以避免造成不必要的损失 -- 看到现在,应该有不少人稍微松了口气吧?说到 Yahoo,他们也在官方的宣布中向使用者道歉,并表示已经正在追查系统漏洞并且将进行修补,但也强烈建议使用者可以先行更改一下自己的帐密,以避免更进一步的损失发生(是说... 漏洞不是还没补上?)。引用来源可以观看官方的回复内容。

Linux僵尸网络Mayhem通过Shellshock漏洞传播

1946伟德娱乐手机版 1

1946伟德娱乐手机版 ,Shellshock的影响还在继续:攻击者正在利用最近Bash命令行解释器发现的漏洞,通过复杂的恶意软件程序Mayhem来感染Linux服务器。

  Mayhem在今年早些时候被发现,由俄罗斯互联网公司Yandex进行了彻底的分析。该恶意软件通过PHP脚本进行安装,该脚本是由攻击者通过感染FTP密码、网站漏洞或者暴力破解网站管理登录凭证而上传到服务器。

  Mayhem的主要组件是一个恶意ELF(可执行和可链接格式)库文件,在安装后,该文件会下载额外的插件并将它们存储在隐藏的加密文件系统中。这些插件允许攻击者使用新感染的服务器来攻击和感染其他的网站。
1946伟德娱乐手机版 2

  在七月份,Yandex研究人员估计该僵尸网络包含约1400台受感染的服务器,这些服务器被链接到两台独立的命令控制服务器。

  来自独立研究公司Malware Must Die(MMD)的研究人员在本周早些时候报告称,Mayhem的编写者已经添加了Shellshock漏洞利用到该僵尸网络的武器库。

  Shellshock是最近在LinuxBash命令行解释器中发现的多个漏洞的统称。这些漏洞可以被利用来实现对服务器的远程代码执行,通过几个攻击向量,包括CGI(公共网关接口)、OpenSSH、DHCP(动态主机配置协议),在某些情况下甚至还有OpenVPN。

  根据MMD公司研究人员表示,源自于Mayhem僵尸网络的Shellshock攻击瞄准着具有CGI支持的web服务器。僵尸机器会探测web服务器是否容易受到Bash漏洞的攻击,然后利用它们来执行Perl脚本。

  该脚本具有恶意Mayhem ELF二进制文件,针对32位和64位CPU架构,这些架构嵌入其中作为十六进制数据,并使用LD_PRELOAD函数来提取和运行它们。

  与之前的版本一样,它创建了隐藏的文件系统,用来存储其额外的组件和插件,这些工具可用于对其他系统进行各种扫描和攻击。MDL研究人员认为,这些组件中的某个组件已经升级为利用新的Shellshock漏洞利用,但还没有得到证实。

  然而,这个理论并不是空穴来风,事实证明,有些已经观察到的Shellshock攻击尝试源自于与现有Mayhem僵尸网络相关的IP(互联网协议)地址,除了来自英国、印度尼西亚、波兰、奥地利、澳大利亚和瑞典的新的IP地址外。MMD公司已经将其收集的信息分享给了国家计算机应急响应小组(CERTs)。

  大多数Linux发行版都已经发布了修复Shellshock漏洞的补丁,但很多web服务器,特别是自我管理的服务器,还没有配置为自动部署更新。还有很多基于Linux的企业产品和嵌入式设备包含web服务器,容易受到Shellshock漏洞影响。如果这些产品没有安装补丁或者还没有可用补丁,它们都可能成为攻击目标。

Shellshock的影响还在继续:攻击者正在利用最近Bash命令行解释器发现的漏洞,通过复杂的恶意软件程...

上一篇:韦德1946路透社:传闻索尼将以近5亿美元出售Vaio PC业务 下一篇:没有了