Хакеры используют ShellShock для атак на SMTP-серверы и создания ботнетов

image

Теги: уязвимость, ShellShock, Trend Micro, Akamai

Сразу три исследовательские компании обнаружили, как хакеры используют брешь в bash для осуществления новых атак.

Исследователи продолжают наблюдать за тем, как хакеры эксплуатируют уязвимость ShellShock для осуществления своей деятельности. Так, сразу две фирмы издали предупреждения безопасности, связанные с этой брешью – Trend Micro обнаружила атаки, нацеленные на SMTP-серверы, в то время как в Akamai заявили о создании ботнетов, жертвами которых становятся пользователи с необновленной версией bash. Обе компании разместили отчеты в своих блогах.

В то же время исследователи из Solutionary Security Engineering Research Team (SERT) опубликовали отчет, в котором сообщается о том, насколько быстро хакеры изменили методы атак для эксплуатации ShellShock. В нем сообщается, что 67% трафика с сигнатурами ShellShock было связано с известными вредоносными источниками. Это означает, что хакеры модифицировали собственные атаки для эксплуатации новой бреши. Более того, такие сигнатуры начали детектировать в первые 24 часа после обнародования деталей уязвимости.

Количество атак постоянно увеличивается и, как предсказывали исследователи, на первых порах наибольшая активность исходила от DDoS-ботнетов, эксплуатирующих ShellShock. Как сообщили специалисты Akamai, хакеры используют уязвимость в bash для создания ботнет-сетей. В большинстве таких сетей для контроля жертв используется протокол IRC. К такому же мнению пришли в Trend Micro, доказав, что преступники используют электронную почту для доставки вредоносного кода на SMTP-серверы, который устанавливает на них IRC-боты JST Perl Irc Bot. Для этого хакер посылает электронное письмо, содержащее вредоносный код в полях Subject, From, To и CC, на потенциально уязвимый сервер. Во время обработки такого сообщения происходит выполнение встроенного пэйлоада, после чего на сервер загружается IRC-бот, через который злоумышленник может получить полный контроль над взломанным сервером.

Единственный способ остановить распространение ботнетов – установить исправления, устраняющие уязвимость.

С отчетом SERT можно ознакомиться здесь .

Telegram Подписывайтесь на канал "SecurityLab" в Telegram, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.

comments powered by Disqus