Shellshock的影響還在繼續(xù)：攻擊者正在利用最近Bash命令行解釋器發(fā)現(xiàn)的漏洞，通過復(fù)雜的惡意軟件程序Mayhem來感染Linux服務(wù)器。

[[121052]]

Mayhem在今年早些時候被發(fā)現(xiàn)，由俄羅斯互聯(lián)網(wǎng)公司Yandex進(jìn)行了徹底的分析。該惡意軟件通過PHP腳本進(jìn)行安裝，該腳本是由攻擊者通過感染FTP密碼、網(wǎng)站漏洞或者暴力破解網(wǎng)站管理登錄憑證而上傳到服務(wù)器。

Mayhem的主要組件是一個惡意ELF(可執(zhí)行和可鏈接格式)庫文件，在安裝后，該文件會下載額外的插件并將它們存儲在隱藏的加密文件系統(tǒng)中。這些插件允許攻擊者使用新感染的服務(wù)器來攻擊和感染其他的網(wǎng)站。

在七月份，Yandex研究人員估計該僵尸網(wǎng)絡(luò)包含約1400臺受感染的服務(wù)器，這些服務(wù)器被鏈接到兩臺獨(dú)立的命令控制服務(wù)器。

來自獨(dú)立研究公司Malware Must Die(MMD)的研究人員在本周早些時候報告稱，Mayhem的編寫者已經(jīng)添加了Shellshock漏洞利用到該僵尸網(wǎng)絡(luò)的武器庫。

Shellshock是最近在Linux Bash命令行解釋器中發(fā)現(xiàn)的多個漏洞的統(tǒng)稱。這些漏洞可以被利用來實(shí)現(xiàn)對服務(wù)器的遠(yuǎn)程代碼執(zhí)行，通過幾個攻擊向量，包括CGI(公共網(wǎng)關(guān)接口)、OpenSSH、DHCP(動態(tài)主機(jī)配置協(xié)議)，在某些情況下甚至還有OpenVPN。

根據(jù)MMD公司研究人員表示，源自于Mayhem僵尸網(wǎng)絡(luò)的Shellshock攻擊瞄準(zhǔn)著具有CGI支持的web服務(wù)器。僵尸機(jī)器會探測web服務(wù)器是否容易受到Bash漏洞的攻擊，然后利用它們來執(zhí)行Perl腳本。

該腳本具有惡意Mayhem ELF二進(jìn)制文件，針對32位和64位CPU架構(gòu)，這些架構(gòu)嵌入其中作為十六進(jìn)制數(shù)據(jù)，并使用LD_PRELOAD函數(shù)來提取和運(yùn)行它們。

與之前的版本一樣，它創(chuàng)建了隱藏的文件系統(tǒng)，用來存儲其額外的組件和插件，這些工具可用于對其他系統(tǒng)進(jìn)行各種掃描和攻擊。MDL研究人員認(rèn)為，這些組件中的某個組件已經(jīng)升級為利用新的Shellshock漏洞利用，但還沒有得到證實(shí)。

然而，這個理論并不是空穴來風(fēng)，事實(shí)證明，有些已經(jīng)觀察到的Shellshock攻擊嘗試源自于與現(xiàn)有Mayhem僵尸網(wǎng)絡(luò)相關(guān)的IP(互聯(lián)網(wǎng)協(xié)議)地址，除了來自英國、印度尼西亞、波蘭、奧地利、澳大利亞和瑞典的新的IP地址外。MMD公司已經(jīng)將其收集的信息分享給了國家計算機(jī)應(yīng)急響應(yīng)小組(CERTs)。

大多數(shù)Linux發(fā)行版都已經(jīng)發(fā)布了修復(fù)Shellshock漏洞的補(bǔ)丁，但很多web服務(wù)器，特別是自我管理的服務(wù)器，還沒有配置為自動部署更新。還有很多基于Linux的企業(yè)產(chǎn)品和嵌入式設(shè)備包含web服務(wù)器，容易受到Shellshock漏洞影響。如果這些產(chǎn)品沒有安裝補(bǔ)丁或者還沒有可用補(bǔ)丁，它們都可能成為攻擊目標(biāo)。(鄒錚編譯)