گسترش حملات Shellshock

محققان امنيت درباره حملات جديد مرتبط با Shellshock هشدار دادند، همانطوريکه شواهد نشان مي‌دهد، مهاجمين سايبري در حال گسترش سوء استفاده از ضعف امنيتي Bash Bug موجود در سيستم هاي UNIX و Linux مي‌باشند.

نخستين هشدار اعلام شده مربوط به حملاتي است که سرورهاي SMTP را مورد هدف قرار مي‌دهد و توسط شرکت Trend Micro تشخيص داده شد، دومين هشدار که توسط شرکت Akamai کشف گرديد مربوط به مهاجميني است که با استفاده ازآسيب پذيري Shellshock در سيستم‌هاي مبتني بر Unix/Linux به توليد ماشين‌هاي تحت کنترل (Botnet) شبکه مبادرت مي‌ورزند.

در خلال اين اتفاقات، تيم پ‍‍ژوهشگران راهکارهاي امنيتي (SERT) خبري را منتشر کرد که نشان مي‌دهد مهاجمين با بيشترين سرعت در حال تغيير شيوه‌هاي حمله بر پايه تهديد Shellshock مي‌باشند. بر اساس اين گزارش، تاکنون 67% از ترافيک شناسايي شده با شناسه Shellshock، مربوط به منابع شناخته شده مي‌باشد، اين بدان معناست که مهاجمان حملاتشان را با بهره برداري از آسيب پذيري Shellshock پايه ريزي نموده‌اند و اينکه اين حملات 24 ساعت بعد از اولين اعلان خبر آسيب پذيري آغاز گرديد. مهاجمان در حال سوء استفاده از آسيب پذيري براي توليد و توسعه حملاتشان مي‌باشند. اين کمپين در مراحل اوليه کاوش و تست براي ثبت قرباني‌هاي آسيب فوق مي‌باشند.

به نظر مي‌رسد که حملات نشأت گرفته از اين آسيب پذيري در حال گسترش مي‌باشد و همانطور که بسياري از محققان پيشتر پيش‌بيني نمودند، بيشتر فعاليت‌هاي اخير از سوي مهاجمين توليد کننده‌ي سيستم‌هاي (Botnet) براي حملات DDoS مي‌باشد. جزئيات گزارش اخير شرکت Akamai نشان دهنده مخاطرات ناشي از حملات DDoS سرويس IRC با استفاده از آسيب پذيري Shellshock مي‌باشد.
بنا بر بررسي‌ها و گزارشات شرکت Trend Micro، بيشتر ماشين‌هاي قرباني (Botnet) آسيب پذيري Shellshock با استفاده از سرويس IRC کنترل مي‌گردند. قربانيان در واقع ماشين‌هاي هستند که توسط تکنيک جديد در اين آسيب‌پذيري اقدام به بارگذاري فايل و اجرا آن مي‌کنند.

تحقيقات نشان مي‌دهد که مهاجمان براي نفوذ به سرورهاي SMTP از ايميل براي ارسال کد مخرب JST Perl Irc Bot با هدف تبديل قرباني به ماشين تحت کنترل استفاده مي‌کنند.

روش کار به اين صورت مي‌باشد، مهاجمان ايميلي عادي که حاوي کد مخرب در قسمت‌هاي موضوع، ارسال کننده، گيرنده و CC است، به سرور SMTP ارسال مي‌کنند. زمانيکه سرورهاي ايميل آسيب پذير پيام‌هاي مخرب را دريافت مي‌کنند، فايل‌هاي جاسازي شده شروع به اجرا شده و در سرور قرباني سرويس IRC بارگذاري و اجرا مي‌شود سپس تماسي از سرور قرباني با سرور کنترل کننده IRC برقرار مي‌شود و به اين طريق مهاجم مي تواند کنترل سرور ايميل را در دست بگيرد.

شرکت Trend Mark مي گويد: "حملات از راه پروتکل SMTP، عرصه ديگري را براي مهاجمان جهت بهره برداري از آسيب Shellshock فراهم مي‌آورد از اين رو پيشنهاد ما به راهبران فناوري اطلاعات، متوقف نمودن کليه IPها و Domainهاي مربوط به اين حملات مي‌باشد."

از آنجايي که اين حملات سير صعودي را طي مي‌نمايد، شرکت Akamai سازمان‌ها را به نصب وصله اصلاحي بر روي سيستم‌هايشان تشويق مي‌نمايد و همچنين هشدار مي‌دهد که سهولت بهره برداري از اين ضعف امنيتي، شرايطي را به وجود آورده که به راحتي از سيستم‌هاي بدون وصله اصلاحي براي تکثير آسيب پذيري استفاده مي‌شود.

اريکا چيکووسکي در پوشش دهي فناوري اطلاعات و نوآوري تجاري تخصص داشته و به عنوان مشارکت کننده‌اي در مجله Dark Readingدر اين زمينه بر روي امنيت اطلاعات تمرکز دارد.

منبع: www.darkreading.com/shellshock-attacks-stack-up/d/d-id/1317101?_mc=RSS_DR_EDT

تاريخ: دوشنبه 19 آبان 1393  ساعت: 

پشتيباني مشتريان

دريافت نرم‌افزار

نظرسنجي

از چه ديواره آتشي استفاده مي‌كنيد؟
Cisco PIX

Netscreen

Watchguard

Packet Alarm