سكس نار Video
تستمر Shellshock في الصدى: يستغل المهاجمون نقاط الضعف التي تم اكتشافها مؤخرًا في مترجم سطر أوامر Bash من أجل إصابة خوادم Linux ببرنامج خبيث متطور يُعرف باسم Mayhem
تم اكتشاف Mayhem في وقت سابق من هذا العام وتم تحليله بدقة من قبل الباحثين من شركة الإنترنت الروسية ياندكس. يتم تثبيته من خلال برنامج PHP النصي الذي يقوم المهاجمون بتحميله على خوادم عبر كلمات مرور FTP المخترقة ، أو نقاط ضعف موقع الويب أو بيانات اعتماد إدارة الموقع الإجبارية.
المكون الرئيسي للفوضى هو ملف مكتبة ELF ضار (تنسيق قابل للتنفيذ و Linkable) ، بعد التثبيت ، تنزيل مكونات إضافية إضافية وتخزينها في نظام ملفات مخفي ومشفّر. تمكّن المكونات الإضافية المهاجمين من استخدام الخوادم المصابة حديثًا لمهاجمة المواقع الإضافية وتهديدها.
[المزيد من القراءة: كيفية إزالة البرامج الضارة من جهاز كمبيوتر يعمل بنظام Windows]في يوليو ، قدر باحثو ياندكس أن الروبوتات تتكون من حوالي 1400 خادمة مصابة متصلة بخادمين منفصلين للقيادة والتحكم.
الباحثون من فريق بحث مستقل قالوا أن Malware Must Die (MMD) أفاد في وقت سابق من هذا الأسبوع أن مؤلفي Mayhem أضافوا مآثر Shellshock إلى ترسانة الروبوتات.
Shellshock هو الاسم الجماعي لعدة نقاط ضعف تم اكتشافها مؤخرًا في مترجم سطر أوامر Linux Bash. يمكن استغلالها لتحقيق تنفيذ التعليمات البرمجية عن بعد على الخوادم من خلال العديد من نواقل الهجوم بما في ذلك CGI (واجهة البوابة العامة) و OpenSSH و DHCP (بروتوكول تكوين المضيف الديناميكي) وحتى OpenVPN في بعض الحالات.
A Symantec infographic يشرح كيف تعمل ثغرة shell Shellshock Bash.
هجمات Shellshock التي نشأت من خوادم ويب هدف Myhem botnet مع دعم CGI. تقوم خوادم ويب bots probe بتحديد ما إذا كانت عرضة لعيوب Bash ثم استغلالها لتنفيذ برنامج Perl ، وفقًا لباحثي MMD.
يحتوي البرنامج النصي على ملفات Mhem الثنائية الخبيثة الضارة لكل من 32 بت و قال باحثون في منشور على المدونة إن بنية وحدة المعالجة المركزية (64 بت) المضمنة في شكلها كبيانات سداسية عشرية وتستخدم وظيفة LD_PRELOAD لاستخراجها وتشغيلها على النظام.
مثل الإصدار السابق ، يقوم بإنشاء نظام ملفات مخفي يخزن فيه المكونات الإضافية - المكونات الإضافية - التي يتم استخدامها لأنواع مختلفة من المسح الضوئي والهجمات ضد الخوادم الأخرى. يعتقد الباحثون في MDL أن أحد هذه المكونات قد تم تحديثه لاستخدام مآثر Shellshock الجديدة ، ولكن لم يتم تأكيده حتى الآن.
ومع ذلك ، فإن هذه النظرية تدعمها حقيقة أن بعض محاولات الهجوم على Shellshock قد نشأت من عناوين IP (بروتوكول الإنترنت) المرتبطة بروبوتات Mayhem الحالية بالإضافة إلى عناوين IP جديدة من مجموعة متنوعة من البلدان بما في ذلك المملكة المتحدة وإندونيسيا وبولندا والنمسا وأستراليا والسويد. شاركت MMD المعلومات التي جمعتها مع فرق الاستجابة للطوارئ الحاسوبية (CERTs).
أصدرت معظم توزيعات لينكس تصحيحات لثغرات Shellshock بالفعل ، ولكن العديد من خوادم الويب ، خاصة تلك التي تتم إدارتها ذاتيًا ، لم يتم تكوينها لنشر التحديثات تلقائيا. هناك أيضًا العديد من منتجات الشركات المستندة إلى Linux والأجهزة المضمنة التي تتضمن خوادم الويب وهي عرضة لشركة Shellshock. يمكن أن يكون هذا أيضًا هدفًا إذا لم يتم نشر تصحيحات لها أو لم تكن متوفرة بعد.
لينكس الروبوتات 'Mayhem' ينتشر من خلال مآثر Shellshock
تستهدف الروبوتات خوادم الويب التي لم يتم تصحيحها لأخطار الضعف الأخيرة الموجودة في لينكس Bash shell
الروبوتات بناء العظام الروبوتات وعضلات الروبوتات الروبوت
Modbot يستخدم مشترك مشترك لتشغيل وحداته المختلفة.
