压在透明的玻璃上c-国产精品国产一级A片精品免费-国产精品视频网-成人黄网站18秘 免费看|www.tcsft.com

　　Shellshock的影響還在繼續(xù)：攻擊者正在利用最近Bash命令行解釋器發(fā)現(xiàn)的漏洞，通過(guò)復(fù)雜的惡意軟件程序Mayhem來(lái)感染Linux服務(wù)器。

　　Mayhem在今年早些時(shí)候被發(fā)現(xiàn)，由俄羅斯互聯(lián)網(wǎng)公司Yandex進(jìn)行了徹底的分析。該惡意軟件通過(guò)PHP腳本進(jìn)行安裝，該腳本是由攻擊者通過(guò)感染FTP密碼、網(wǎng)站漏洞或者暴力破解網(wǎng)站管理登錄憑證而上傳到服務(wù)器。

　　Mayhem的主要組件是一個(gè)惡意ELF(可執(zhí)行和可鏈接格式)庫(kù)文件，在安裝后，該文件會(huì)下載額外的插件并將它們存儲(chǔ)在隱藏的加密文件系統(tǒng)中。這些插件允許攻擊者使用新感染的服務(wù)器來(lái)攻擊和感染其他的網(wǎng)站。

　　在七月份，Yandex研究人員估計(jì)該僵尸網(wǎng)絡(luò)包含約1400臺(tái)受感染的服務(wù)器，這些服務(wù)器被鏈接到兩臺(tái)獨(dú)立的命令控制服務(wù)器。

　　來(lái)自獨(dú)立研究公司Malware Must Die(MMD)的研究人員在本周早些時(shí)候報(bào)告稱，Mayhem的編寫(xiě)者已經(jīng)添加了Shellshock漏洞利用到該僵尸網(wǎng)絡(luò)的武器庫(kù)。

　　Shellshock是最近在Linux Bash命令行解釋器中發(fā)現(xiàn)的多個(gè)漏洞的統(tǒng)稱。這些漏洞可以被利用來(lái)實(shí)現(xiàn)對(duì)服務(wù)器的遠(yuǎn)程代碼執(zhí)行，通過(guò)幾個(gè)攻擊向量，包括CGI(公共網(wǎng)關(guān)接口)、OpenSSH、DHCP(動(dòng)態(tài)主機(jī)配置協(xié)議)，在某些情況下甚至還有OpenVPN。

　　根據(jù)MMD公司研究人員表示，源自于Mayhem僵尸網(wǎng)絡(luò)的Shellshock攻擊瞄準(zhǔn)著具有CGI支持的web服務(wù)器。僵尸機(jī)器會(huì)探測(cè)web服務(wù)器是否容易受到Bash漏洞的攻擊，然后利用它們來(lái)執(zhí)行Perl腳本。

　　該腳本具有惡意Mayhem ELF二進(jìn)制文件，針對(duì)32位和64位CPU架構(gòu)，這些架構(gòu)嵌入其中作為十六進(jìn)制數(shù)據(jù)，并使用LD_PRELOAD函數(shù)來(lái)提取和運(yùn)行它們。

　　與之前的版本一樣，它創(chuàng)建了隱藏的文件系統(tǒng)，用來(lái)存儲(chǔ)其額外的組件和插件，這些工具可用于對(duì)其他系統(tǒng)進(jìn)行各種掃描和攻擊。MDL研究人員認(rèn)為，這些組件中的某個(gè)組件已經(jīng)升級(jí)為利用新的Shellshock漏洞利用，但還沒(méi)有得到證實(shí)。

　　然而(+本站微信networkworldweixin)，這個(gè)理論并不是空穴來(lái)風(fēng)，事實(shí)證明，有些已經(jīng)觀察到的Shellshock攻擊嘗試源自于與現(xiàn)有Mayhem僵尸網(wǎng)絡(luò)相關(guān)的IP(互聯(lián)網(wǎng)協(xié)議)地址，除了來(lái)自英國(guó)、印度尼西亞、波蘭、奧地利、澳大利亞和瑞典的新的IP地址外。MMD公司已經(jīng)將其收集的信息分享給了國(guó)家計(jì)算機(jī)應(yīng)急響應(yīng)小組(CERTs)。

　　大多數(shù)Linux發(fā)行版都已經(jīng)發(fā)布了修復(fù)Shellshock漏洞的補(bǔ)丁，但很多web服務(wù)器，特別是自我管理的服務(wù)器，還沒(méi)有配置為自動(dòng)部署更新。還有很多基于Linux的企業(yè)產(chǎn)品和嵌入式設(shè)備包含web服務(wù)器，容易受到Shellshock漏洞影響。如果這些產(chǎn)品沒(méi)有安裝補(bǔ)丁或者還沒(méi)有可用補(bǔ)丁，它們都可能成為攻擊目標(biāo)。