گسترش حملات Shellshock

محققان امنيت درباره حملات جديد مرتبط با Shellshock هشدار دادند، همانطوريکه شواهد نشان می‌دهد، مهاجمين سايبری در حال گسترش سوء استفاده از ضعف امنيتی Bash Bug موجود در سيستم های UNIX و Linux می‌باشند.

نخستين هشدار اعلام شده مربوط به حملاتی است که سرورهای SMTP را مورد هدف قرار می‌دهد و توسط شرکت Trend Micro تشخيص داده شد، دومين هشدار که توسط شرکت Akamai کشف گرديد مربوط به مهاجمينی است که با استفاده ازآسيب پذيری Shellshock در سيستم‌های مبتنی بر Unix/Linux به توليد ماشين‌های تحت کنترل (Botnet) شبکه مبادرت می‌ورزند.

در خلال اين اتفاقات، تيم پ‍‍ژوهشگران راهکارهای امنيتی (SERT) خبری را منتشر کرد که نشان می‌دهد مهاجمين با بيشترين سرعت در حال تغيير شيوه‌های حمله بر پايه تهديد Shellshock می‌باشند. بر اساس اين گزارش، تاکنون 67% از ترافيک شناسايی شده با شناسه Shellshock، مربوط به منابع شناخته شده می‌باشد، اين بدان معناست که مهاجمان حملاتشان را با بهره برداری از آسيب پذيری Shellshock پايه ريزی نموده‌اند و اينکه اين حملات 24 ساعت بعد از اولين اعلان خبر آسيب پذيری آغاز گرديد. مهاجمان در حال سوء استفاده از آسيب پذيری برای توليد و توسعه حملاتشان می‌باشند. اين کمپين در مراحل اوليه کاوش و تست برای ثبت قربانی‌های آسيب فوق می‌باشند.

به نظر می‌رسد که حملات نشأت گرفته از اين آسيب پذيری در حال گسترش می‌باشد و همانطور که بسياری از محققان پيشتر پيش‌بينی نمودند، بيشتر فعاليت‌های اخير از سوی مهاجمين توليد کننده‌ی سيستم‌های (Botnet) برای حملات DDoS می‌باشد. جزئيات گزارش اخير شرکت Akamai نشان دهنده مخاطرات ناشی از حملات DDoS سرويس IRC با استفاده از آسيب پذيری Shellshock می‌باشد.
بنا بر بررسی‌ها و گزارشات شرکت Trend Micro، بيشتر ماشين‌های قربانی (Botnet) آسيب پذيری Shellshock با استفاده از سرويس IRC کنترل می‌گردند. قربانيان در واقع ماشين‌های هستند که توسط تکنيک جديد در اين آسيب‌پذيری اقدام به بارگذاری فايل و اجرا آن می‌کنند.

تحقيقات نشان می‌دهد که مهاجمان برای نفوذ به سرورهای SMTP از ايميل برای ارسال کد مخرب JST Perl Irc Bot با هدف تبديل قربانی به ماشين تحت کنترل استفاده می‌کنند.

روش کار به اين صورت می‌باشد، مهاجمان ايميلی عادی که حاوی کد مخرب در قسمت‌های موضوع، ارسال کننده، گيرنده و CC است، به سرور SMTP ارسال می‌کنند. زمانيکه سرورهای ايميل آسيب پذير پيام‌های مخرب را دريافت می‌کنند، فايل‌های جاسازی شده شروع به اجرا شده و در سرور قربانی سرويس IRC بارگذاری و اجرا می‌شود سپس تماسی از سرور قربانی با سرور کنترل کننده IRC برقرار می‌شود و به اين طريق مهاجم می تواند کنترل سرور ايميل را در دست بگيرد.

شرکت Trend Mark می گويد: "حملات از راه پروتکل SMTP، عرصه ديگری را برای مهاجمان جهت بهره برداری از آسيب Shellshock فراهم می‌آورد از اين رو پيشنهاد ما به راهبران فناوری اطلاعات، متوقف نمودن کليه IPها و Domainهای مربوط به اين حملات می‌باشد."

از آنجايي که اين حملات سير صعودی را طی می‌نمايد، شرکت Akamai سازمان‌ها را به نصب وصله اصلاحی بر روی سيستم‌هايشان تشويق می‌نمايد و همچنين هشدار می‌دهد که سهولت بهره برداری از اين ضعف امنيتي، شرايطی را به وجود آورده که به راحتی از سيستم‌های بدون وصله اصلاحی برای تکثير آسيب پذيری استفاده می‌شود.

اريکا چيکووسکی در پوشش دهی فناوری اطلاعات و نوآوری تجاری تخصص داشته و به عنوان مشارکت کننده‌ای در مجله Dark Readingدر اين زمينه بر روی امنيت اطلاعات تمرکز دارد.

منبع: www.darkreading.com/shellshock-attacks-stack-up/d/d-id/1317101?_mc=RSS_DR_EDT

تاريخ: دوشنبه 19 آبان 1393  ساعت: 09:51

پشتيباني مشتريان

دريافت نرم‌افزار

نظرسنجي

از چه ديواره آتشي استفاده مي‌كنيد؟
Cisco PIX

Netscreen

Watchguard

Packet Alarm