Linux僵尸网络Mayhem通过Shellshock漏洞传播

Linux僵尸网络Mayhem通过Shellshock漏洞传播

黑客安全访客2021-10-12 3:21:003434A+A-

  Shellshock的影响还在继续:攻击者正在利用最近Bash命令行解释器发现的漏洞,通过复杂的恶意软件程序Mayhem来感染Linux服务器。

  Mayhem在今年早些时候被发现,由俄罗斯互联网公司Yandex进行了彻底的分析。该恶意软件通过PHP脚本进行安装,该脚本是由攻击者通过感染FTP密码、网站漏洞或者暴力破解网站管理登录凭证而上传到服务器。

  Mayhem的主要组件是一个恶意ELF(可执行和可链接格式)库文件,在安装后,该文件会下载额外的插件并将它们存储在隐藏的加密文件系统中。这些插件允许攻击者使用新感染的服务器来攻击和感染其他的网站。

  在七月份,Yandex研究人员估计该僵尸网络包含约1400台受感染的服务器,这些服务器被链接到两台独立的命令控制服务器。

  来自独立研究公司Malware Must Die(MMD)的研究人员在本周早些时候报告称,Mayhem的编写者已经添加了Shellshock漏洞利用到该僵尸网络的武器库。

  Shellshock是最近在Linux Bash命令行解释器中发现的多个漏洞的统称。这些漏洞可以被利用来实现对服务器的远程代码执行,通过几个攻击向量,包括CGI(公共网关接口)、OpenSSH、DHCP(动态主机配置协议),在某些情况下甚至还有OpenVPN。

  根据MMD公司研究人员表示,源自于Mayhem僵尸网络的Shellshock攻击瞄准着具有CGI支持的web服务器。僵尸机器会探测web服务器是否容易受到Bash漏洞的攻击,然后利用它们来执行Perl脚本。

  该脚本具有恶意Mayhem ELF二进制文件,针对32位和64位CPU架构,这些架构嵌入其中作为十六进制数据,并使用LD_PRELOAD函数来提取和运行它们。

  与之前的版本一样,它创建了隐藏的文件系统,用来存储其额外的组件和插件,这些工具可用于对其他系统进行各种扫描和攻击。MDL研究人员认为,这些组件中的某个组件已经升级为利用新的Shellshock漏洞利用,但还没有得到证实。

  然而(+本站微信networkworldweixin),这个理论并不是空穴来风,事实证明,有些已经观察到的Shellshock攻击尝试源自于与现有Mayhem僵尸网络相关的IP(互联网协议)地址,除了来自英国、印度尼西亚、波兰、奥地利、澳大利亚和瑞典的新的IP地址外。MMD公司已经将其收集的信息分享给了国家计算机应急响应小组(CERTs)。

  大多数Linux发行版都已经发布了修复Shellshock漏洞的补丁,但很多web服务器,特别是自我管理的服务器,还没有配置为自动部署更新。还有很多基于Linux的企业产品和嵌入式设备包含web服务器,容易受到Shellshock漏洞影响。如果这些产品没有安装补丁或者还没有可用补丁,它们都可能成为攻击目标。

点击这里复制本文地址 以上内容由黑资讯整理呈现,请务必在转载分享时注明本文地址!如对内容有疑问,请联系我们,谢谢!
  • 4条评论
  • 鸽吻绮筵2022-06-01 12:07:14
  • 到Bash漏洞的攻击,然后利用它们来执行Perl脚本。  该脚本具有恶意Mayhem ELF二进制文件,针对32位和64位CPU架构,这些架构嵌入其中作为十六进制数据,并使用LD_P
  • 慵吋二奴2022-06-01 14:02:44
  • 最近在Linux Bash命令行解释器中发现的多个漏洞的统称。这些漏洞可以被利用来实现对服务器的远程代码执行,通过几个攻击向量,包括CGI(公共网关接口)、OpenSSH、DHCP(动态主机配置协议),在某些情况下甚至还
  • 夙世云棉2022-06-01 14:05:49
  • 攻击者使用新感染的服务器来攻击和感染其他的网站。  在七月份,Yandex研究人员估计该僵尸网络包含约1400台受感染的服务器,这些服务器被链接到两台独立的命令控制服务器。  来自独立研究公司Malware Must Die(MMD)的研究人员在本周早些
  • 假欢俗欲2022-06-01 04:24:21
  • U架构,这些架构嵌入其中作为十六进制数据,并使用LD_PRELOAD函数来提取和运行它们。  与之前的版本一样,它创建了隐藏的文件系统,用来存储其额外的组件和插件,这些工具可用于对其他系统进行各种扫描和攻击。MDL研究人员认为,这些组件中的某个组件已经升级为利用新的Shellsh

支持Ctrl+Enter提交

黑资讯 © All Rights Reserved.  
Copyright Copyright 2015-2020 黑资讯
滇ICP备19002590号-1
Powered by 黑客资讯 Themes by 如有不合适之处联系我们
网站地图| 发展历程| 留言建议| 网站管理