Honeypot phát hiện mã độc khai thác lỗ hổng Bash.

Một honeypot được phát triển bởi các nhà nghiên cứu tại phòng thí nghiệm AlienVault đã “bẫy” được hai phần thành phần riêng biệt của phần mềm độc hại đang cố gắng để khai thác lỗ hổng Bash.

Jaime Blasco, Giám đốc phòng thí nghiệm AlienVault cho biết, một mẫu là một bot IRC dạng thêm vào được viết bằng ngôn ngữ Perl. Nó cố gắng để xây dựng một botnet được sử dụng trong các cuộc tấn công tấn công từ chối dịch vụ (DDoS ). Cho đến nay, ông cho biết đã có 715 nạn nhân và tìm ra được những cụm từ được viết bằng tiếng Rumani trong mã nguồn.

Các phần khác của phần mềm độc hại tải xuống và thực hiện một nhị phân ELF (thực thi và kết nối). Nó cố gắng đánh cắp thông tin trên hệ thống từ máy tính bị xâm nhập, bao gồm dữ liệu về cấu hình. Đồng thời nó cũng là một dạng bot DDoS. Mẫu DDoS này cố gắng để tạo một kết nối đến một máy chủ điều khiển và được kiểm soát trên địa chỉ 89.238.150.154 ở cổng 5, tuy nhiên hệ thống máy chủ đó hiện tại đã bị sập.

Các phần mềm độc hại hỗ trợ một số lệnh, bao gồm JUNK , UDP và TCP. Nó cũng được cấu hình đi kèm với một danh sách kết hợp cả tên người dùng và mật khẩu mặc định, có khả năng nó được sử dụng trong các cuộc tấn công brute-force. Hiện tại, đã xuất hiện thêm một mẫu khác trên cùng một máy chủ, tương tự như mẫu trên nhưng hiện nó kết nối địa chỉ 162 .253. 66. 76 trên cổng 53 .

Jaime Blasco cho biết: “Chúng tôi đã nghiên cứu cách mã độc được phát tán nhưng vẫn chưa tìm được lý do. Rất nhiều hệ thống gặp phải lỗ hổng Bash, nhưng điều đó không có nghĩa là tin tặc có thể khai thác hết được chúng.”

Lỗ hổng Bash này đã được công bố trong những ngày gần đây. Nó là trình bao dòng lệnh mặc định cho hầu hết các hệ thống Linux, UNIX và Mac OS X và nhiều chức năng chạy ẩn trên các hệ thống có thể gọi đến Bash. Điều này làm tăng khó khăn trong việc đánh giá và đưa ra các bản vá cho hệ thống máy chủ web và các thiết bị đầu vào gặp lỗi.

Bản vá lỗi lỗ hổng Bash đã được cập nhật và đưa ra một cách nhanh chóng bởi Red Hat, Ubuntu, CentOS, Debian và những nhà phân phối cho hệ điều hành Linux khác nữa, nhưng báo cáo từ Red Hat và một số nơi khác đã cho thấy rằng bản vá đầu tiên không đầy đủ và những bản cập nhật mới sẽ sớm ra mắt.

Blasco cho biết “Với mã độc hại này, về cơ bản tin tặc có thể làm những gì họ muốn”. “Thông thường người ta sử dụng mã này cho DDoS, nhưng bạn có thể cài đặt hầu như bất kỳ phần mềm độc hại nào khác hoặc ăn cắp thông tin từ máy chủ và gửi lệnh nhiều hơn nữa”

Nhiều mũi tấn công đang nhắm vào cPanel, một bảng điều khiển máy chủ web dựa trên hệ điều hành Linux được sử dụng để quản lý trang web từ xa. Cpanel đang tồn tại lỗ hổng bảo mật cho phép hacker khai thác từ xa. Hãng bảo mật SECURI báo cáo ngày hôm nay rằng sau một cuộc càn quét trên Internet cho thấy 2,9% trong tổng số các trang web tồn tại lỗ hổng đó.

Threatpost.com