За последние семь дней сентября защитные решения Incapsula заблокировали около 311 тыс. попыток эксплуатации уязвимости в командной оболочке Bash, то есть частота таких атак в среднем составила 1,86 тыс. в час. Наиболее оживленный Shellshock-трафик наблюдался на территории США и в Западной Европе.

Исследователи зафиксировали несколько пиков в выходные дни, 27 и 28 сентября; эти всплески, по всей видимости, были связаны с активным поиском бреши после ее оглашения: владельцы потенциально уязвимых ресурсов спешили проверить их статус, злоумышленники — опробовать новую лазейку. Первый день рабочей недели показал устойчивый рост попыток эксплойта, а затем наступил неожиданный спад, который эксперты склонны расценивать как временное затишье перед бурей.

Как показал анализ, около 6% наблюдаемого трафика действительно исходило из легитимных организаций, остальной поток ассоциировался с тем или иным видом атаки. При этом около 20% Shellshock-трафика, по оценке Incapsula, составили попытки угона веб-сервера, 70% — злонамеренные сканы и попытки засева зловредов с DDoS-функционалом.

Приведенная Incapsula статистика составлена по выборке из 100 тыс. клиентских сайтов разной величины, от частных блогов до ресурсов компаний из списка Fortune 50.

Shellshock-атаки - Incapsula

Результаты мониторинга Shellshock-трафика в конце сентября (источник: Incapsula).

Исследователи попытались экстраполировать свои результаты, взяв за основу период высокой Shellshock-активности. На настоящий момент в Интернете числится, согласно Netcraft, свыше 1 млрд сайтов; с учетом размеров выборки Incapsula плотность распределения потенциальных мишеней составила 1 на 10 тыс., следовательно, при частоте Shellshock-атак 1,86 тыс. в час за три дня им могли подвергнуться более 1,3 млн веб-сайтов.

Учет Shellshock-трафика ведут и в Dell SecureWorks. За первые четыре дня с момента раскрытия уязвимости датчики компании зафиксировали свыше 140 тыс. попыток сканирования, а также эксплуатации с целью установки вредоносного ПО. По оценке экспертов, инициаторами примерно четверти сканов являлись исследователи из Errata Security или операторы специализированного поисковика Shodan; 23% скан-трафика исходило с территории Нидерландов, 18% — из США и столько же из Китая, 16% — из Сингапура.

Akamai Technologies удалось не только определить географическое местоположение источников Shellshock-трафика, подсчитать их и разделить на «плохие» и «хорошие», но также установить профиль многих мишеней. За пять дней, включая дату публикации уязвимости, исследователи зарегистрировали около 22,5 тыс. уникальных источников (IP-адресов); 156 из них оказались HTTP-прокси. Две трети обнаруженных IP имели американскую прописку:

источники Shellshock-трафика - Akamai

Географическое распределение исходящего Shellshock-трафика (источник: Akamai).

По свидетельству Akamai, злоумышленники атаковали самые разные отрасли, но наиболее часто — представителей игровой индустрии, на долю которых пришлось около 300 тыс. доменов-мишеней. Начиная с 24 сентября эксперты наблюдали резкий рост количества атакованных доменов и разнообразия целей, которые преследовали инициаторы этих атак. Как удалось установить, причиной половины Shellshock-трафика являлось враждебное зондирование; около 30% составили легитимные сканы, попытки избавиться от бреши путем обновления Bash и дружеские предупреждения об уязвимых ресурсах. На попытки эксплойта с целью засева IRC-ботов пришлось 10% Shellshock-атак, на обратные соединения, позволяющие получить контроль над сервером, — 1%; иногда злоумышленники пытались украсть важную информацию (пароли) или биткойны.

Категории: Аналитика, Главное, Уязвимости