Botnet készült a Shellshock sérülékenység kihasználására

A Linux és a Unix parancsértelmező (BASH) kritikus sérülékenységének nyilvánosságra hozatala után megjelent a sebezhetőséget kereső, majd azt kihasználó botnet, a Mayhem. A malware a Linux és a FreeBSD szervereket is a robothálózat szolgálatába kívánja állítani.

A Malware Must Die blog szakértői szerint a támadások több IP címről kezdték meg a sérülékeny rendszerek utáni kutatást. A fertőzés terjedésének kezdeti szakasza egy PHP szkripthez kötődik, amely kilövi a “/usr/bin/host folyamatokat”, és elhelyez egy káros kódot tartalmazó “libworker.so” nevű fájlt a sérülékeny szerveren. Ezt követően a támadó egy perl-alapú távoli telepítőt futtat, majd bekerül a memóriába az a káros kód, amely révén a szerver egyes funkcióinak átvételére is sor kerül.

Az irányító szerverek elemzésével a szakértők jelenleg körülbelül 1400, javarész az Egyesült Államokban, Oroszországban, Németországban és Kanadában található fertőzött számítógépet találtak, azonban a botnet folyamatos terjedése valószínűsíthető.

A Kormányzati Eseménykezelő Központ munkatársai a fertőzés elkerülése érdekében javasolják az érintett rendszerek azonnali és folyamatos frissítését.

Linkek:

http://news.softpedia.com/news/Mayhem-Botnet-Relies-On-Shellshock-Exploit-to-Expand-461770.shtml

http://blog.malwaremustdie.org/2014/10/mmd-0029-2015-warning-of-mayhem.html

http://www.cert-hungary.hu/node/275