Tin tặc lợi dụng lỗ hổng Shellshock tấn công các máy chủ web
Ngay sau khi tin tức về lỗ hổng Bash với cái tên “Shellshock” đươc đưa ra, chúng ta đã thấy được ngay những động thái đầu tiên của tin tặc chủ động sử dụng lỗ hổng phổ biến này. Những hành động gần đây nhất của tin tặc là chiếm quyền kiểm soát máy chủ web bằng cách tạo một bash mới ...
Ngay sau khi tin tức về lỗ hổng Bash với cái tên “Shellshock” đươc đưa ra, chúng ta đã thấy được ngay những động thái đầu tiên của tin tặc chủ động sử dụng lỗ hổng phổ biến này.
Những hành động gần đây nhất của tin tặc là chiếm quyền kiểm soát máy chủ web bằng cách tạo một bash mới và chuyển hướng nó đến một máy chủ từ xa nghe trên một cổng TCP cụ thể. Nó cũng được biết đến như là một reverse-connect-shell. Đây là một ví dụ về cách tấn công xuất hiện trong một file log của máy chủ web:
Tin tặc đã nghe trên TCP cổng 3333 tại địa chỉ IP 195.xx.xx.101 và địa chỉ gốc của tin tặc là 94.xx.xx.131. Để chiếm quyền kiểm soát máy chủ bằng phương pháp này, không cần thêm bất cứ chương trình gì bên ngoài.
Trong một cuộc tấn công khác đang diễn ra, tin tặc sử dụng một HPPT-request đặc biệt khai thác lỗ hổng Bash nhằm cài đặt một Linux-backdoor trên máy chủ của bạn nhân. Các nhà nghiên cứu của Kaspersky đã phát hiện ra đó là một biến thể của Backdoor.Linux.Gafgyt.
Các mã nhị phân chứa 2 địa chỉ IP được mã hóa cứng. Địa chỉ đầu tiên chỉ được sử dụng để thông báo với tin tặc rằng đã có một sự xâm nhập thành công. Địa chỉ thứ hai được sử dụng như một máy chủ command-and-control (C&C) để kết nối trực tiếp với mã độc trên máy chủ bị nhiễm.
Những hình ảnh dưới đây là ví dụ về kết nối này:
Trong dòng 1, mã độc sẽ gửi thông điệp “Hello” và thông báo đến cho tin tặc kiến trúc nhị phân nào đã được biên dịch – ở đây là x86.
Các lệnh độc lập được gửi bởi tin tặc, backoor sẽ gửi “PING” request mỗi 30 giây 1 lần và được trả lời bằng một “PONG” từ máy chủ.
Các lệnh luôn bắt đầu bằng “!*”. Lệnh đầu tiên chúng ta sẽ xem xét là “SCANNER ON” tại dòng 10. Nó thông báo quét miền IP ngẫu nhiên cho các máy chủ chấp nhận kết nối telnet TCP cổng 23. Khi một máy chủ được tìm thấy, nó sẽ thử đăng nhập bằng việc sử dụng các tài khoản bao gồm tên người dùng và mật khẩu mặc định phổ biến nhất.
Nhiệm vụ tiếp theo của tin tặc là thực hiện trên máy nạn nhân bắt đầu từ dòng 14. Đây là mã nhị phân thực hiện để flood IP 69.xx.xx.67 sử dụng UDP trong 50 giây. Trong dòng 17, tin tặc dừng quá trình flood nhằm khởi động lại trong dòng 18 và nhắm đến 178.x.x.241. “None Killed.” trong dòng 21 này xuất hiện bởi vì việc flood từ dòng 14 đã hoàn thành trước khi tin tặc muốn dừng nó lại thông qua lệnh “!* KILLATTK” ở dòng 17.
Dưới đây là các lệnh hoàn chỉnh được sử dụng trên backdoor:
!* PING – Replies with "PONG!" !* SH - Execute arbitrary shell command !* GETLOCALIP – Replies with "My IP: $ipaddr" !* SCANNER ON | OFF - Scan random networks, perform a very small dictionary attack (see above), test if target is a honeypot!* HOLD - Hold flooding !* JUNK – Perform junk flood !* UDP – Perform udp flood !* TCP – Perform tcp flood !* KILLATTK - Kill all flood !* LOLNOGTFO – Terminate backdoor.
Kaspesky