ShellShock(破壳)漏洞余威不减:新ShellShock蠕虫扫描大量脆弱主机展开攻击

2015-04-13 135031人围观 ,发现 4 个不明物体 资讯

*本文中涉及到的相关漏洞已报送厂商并得到修复,本文仅限技术研究与讨论,严禁用于非法用途,否则产生的一切后果自行承担。

ShellShock

ShellShock爆发于2014年9月,而时至今日其余威仍在。本周安全研究人员发现了一个恶意活动通过大量存在Bash Shellshock(破壳)漏洞的主机展开攻击。

ShellShock漏洞回顾

ShellShock漏洞披露于2014年9月末,它通过把命令置于一个变量函数之前的方式允许攻击者执行Bash中的任意命令。这个shell用于互联网多种服务中,比如网络服务器,因此这个安全漏洞显得非常重要。‍非要相提并论的话,它的严重性并不亚于“心脏出血”漏洞。‍

尽管已提供补丁修复,而且媒体也进行了广泛报道,但Shellshock的修复方案并没有被所有的管理员采用,因此有些机器仍然易受攻击。2014年11月中旬,攻击者依然在扫描易受攻击的机器并成功攻陷。12月份,攻击者将目光聚集在ONAP NAS(网络附加存储)设备上,并且获得访问那些还未修复机器的访问权限。

罗马尼亚黑客?

‍Volexity安全研究人员表示,现在攻击者似乎又开始扫描这些漏洞了,而且扫描易受攻击网络设备的频率及范围在不断增加。这款恶意软件带有一个包括26,356个IP地址的脚本,并且是用一个叫做ELF的扫描库来扫描。‍

安全研究人员指出:

“基于文件内容,这个恶意软件似乎是一个名为mass.c的文件修改版本,它被一个罗马尼亚网站引用为sslvuln.c文件”。而二进制中一个名为“Nu Pot Deschide%,(意为“不要打开”)”的字符串佐证了罗马尼亚攻击者至少参与了修改恶意版本的猜测。

受害主机清单

一旦发现存在易受攻击的机器,攻击者就会将其攻陷并添加至扫描网络。而一份存在漏洞的主机清单及已被感染设备的名单很快就出炉了。

ShellShock受害主机清单

安全研究人员表示,恶意活动最可靠的表现是与IP地址109.228.25.87的外部通信。这个IP地址托管着一个TAR,并且拥有可找到并感染设备的必需脚本。

* 参考来源softpedia,codename2015翻译,转载请注明来自FreeBuf黑客与极客(FreeBuf.COM)

相关推荐

这些评论亮了

  • 英国用户 ip: 109.228.25.87 回复
    hello, avone!
    recently I found thousands of pcs access my pc but I don't know why, who could help me?
    )10( 亮了
发表评论

已有 4 条评论

取消
Loading...

这家伙太懒,还未填写个人描述!

25 文章数 2 评论数 0 关注者

特别推荐

推荐关注

活动预告

填写个人信息

姓名
电话
邮箱
公司
行业
职位
css.php