Угроза, связанная с уязвимостью Shellshock, остается серьезной, хотя с момента обнаружения бреши прошло уже больше месяца. Центр SANS Internet Storm Center доложил о том, что самая последняя подобная атака была предпринята на SMTP-сервера, принадлежащие веб-хостам.

Злоумышленники используют эксплойты к Shellshock, уже ставшей печально известной уязвимости в Bash (Bourne Again Shell), чтобы внедрить perl-скрипт в скомпрометированные компьютеры. Данный скрипт подключает взломанную машину к ботнету, получающему команды через IRC, как сообщили в записи на сайте Binary Defense Systems.

«В качестве основного вектора атаки используется Shellshock через поля «Тема», «Текст», «От», «Кому», — отметили в BDS. — Как только вредоносный объект оказался в системе, perl-бот активируется и сигнализирует через IRC о готовности, ожидая дальнейших инструкций».

В опубликованном SANS предупреждении сказано, что perl-бот содержит простые DDoS-команды, а также может получать и исполнять иной вредоносный код.

«Трудно определить, какие именно продукты попали под прицел злоумышленников, так как Shellshock работает на основании вызовов на системном уровне и использует особенности анализатора Bash, однако мы полагаем, что ботнет разрастается при помощи массовых рассылок на территории США», — добавили представители BDS.

Эксплойты для Shellshock появились itw практически через несколько часов после обнародования информации о бреши в Bash. Тогда атаки в основном сводились к пингованию потенциально уязвимых систем, в настоящее время они нацелены на засев DDoS-ботов.

Категории: Уязвимости