ShellShock используется для атак на SMTP-серверы и создания ботнетов


Trend MicroКомпании Trend Micro и Akamai, параллельно друг от друга, наблюдают за тем, как хакеры продолжают эксплуатировать уязвимость ShellShock для осуществления своей деятельности. Также отдельно друг от друга эти компании издали предупреждения безопасности, связанные с этой брешью. Так специалистами Trend Micro были зафиксированы атаки, нацеленные на SMTP-серверы. А исследователи из Akamai, в свою очередь, заявили о создании ботнетов, жертвами которых становятся пользователи с необновленной версией bash.

В это же время исследователи, но уже из Solutionary Security Engineering Research Team (SERT), опубликовали свой отчет на тему "Насколько быстро хакеры изменили методы атак для эксплуатации ShellShock".

Так, согласно данным из этого отчета, 67% трафика с сигнатурами ShellShock было связано с известными вредоносными источниками. Это означает, что хакерами были модифицированы собственные атаки с целью эксплуатации новой бреши. Более того, подобные сигнатуры начали детектировать в первые 24 часа после обнародования деталей уязвимости.

Количество атак постоянно увеличивается, при этом на первых порах наибольшая активность исходила от DDoS-ботнетов, эксплуатирующих ShellShock. Например, в Akamai утверждают, что хакеры используют уязвимость в bash для создания ботнет-сетей. При этом в большинстве таких сетей для контроля жертв используется протокол IRC. Такого же мнения придерживаются и специалисты Trend Micro, которые доказали, что преступники используют электронную почту для доставки вредоносного кода на SMTP-серверы. Данный код и устанавливает на эти сервера IRC-боты JST Perl Irc Bot.

Чтобы это осуществить, хакер посылает электронное письмо с вредоносным кодом в полях Subject, From, To и CC, на потенциально уязвимый сервер. Во время обработки такого сообщения происходит выполнение встроенного пэйлоада, после чего на сервер загружается IRC-бот, через который злоумышленник может получить полный контроль над взломанным сервером.

Единственным методом борьбы с этой угрозой (с распространением ботнетов) является установка исправления, устраняющего уязвимость.


Обновлено (04.11.2014 02:32)