Ini bukan pertama kalinya SHELLSHOCK telah dimanfaatkan di alam liar, tetapi serangan ini menarik karena beberapa alasan. Pertama, para penyerang menargetkan Simple Mail Transfer Protocol (SMTP), yang digunakan untuk transmisi email.
Menurut Binary Defense Systems (BDS), sebuah perusahaan adik baru dari perusahaan keamanan TrustedSec, awal SHELLSHOCK payload termasuk dalam subjek, dari, hingga bidang, dan tubuh email yang dikirimkan oleh penyerang. Jika kode berbahaya dijalankan berhasil, IRC bot Perl berbasis download ke sistem korban dan SMTP gerbang terinfeksi ditambahkan ke infrastruktur botnet.
"Ini diketahui produk mana yang akan secara khusus rentan terhadap ini sejak SHELLSHOCK mengandalkan panggilan tingkat sistem dan memanfaatkan pesta namun tampaknya menjadi pengiriman besar-besaran cukup email di seluruh Amerika Serikat," kata BDS's David Kennedy dalam posting blog.
Para peneliti di SANS Institute melaporkan bahwa serangan tampaknya ditujukan terutama pada server penyedia web hosting. Menurut Kevin Liston, penangan di SANS Institute Internet Storm Center (ISC), malware ini dirancang untuk mengeksekusi didistribusikan denial-of-service (DDoS) perintah sederhana, tetapi juga mampu mengambil dan melaksanakan ancaman lainnya.
Konsultan keamanan Belgia Xavier Mertens tersandung pada salah satu email berbahaya dalam akun email pribadinya. Email tersebut datang dari sebuah alamat di mata. com, domain untuk alamat email pribadi yang sering disalahgunakan oleh penyerang, ahli mengatakan SecurityWeek melalui email.
Alamat IP dari mana payload tersebut telah diserahterimakan kepada Mertens adalah sama dengan yang dilihat oleh SANS Institute. IP (178.254.31.165) dikaitkan dengan server virtual host di sebuah perusahaan hosting yang Jerman. Server saat ini turun, kata Mertens.
"Hal tentang SHELLSHOCK adalah bahwa setiap server yang menjalankan versi rentan bash adalah rentan dan dapat dimanfaatkan jika seorang penyerang dapat mengontrol sesuatu yang ditetapkan sebagai variabel SMTP. Server tidak harus langsung diakses oleh publik," Martijn Grooten, editor Virus Bulletin, mengatakan SecurityWeek. "Masalahnya dengan SMTP adalah email yang kadang-kadang membutuhkan berbagai router internal. Misalnya, mungkin tiba di filter spam organisasi, yang dibagikan pada MTA sekunder (server mail), yang kemudian dibagikan pada server yang digunakan oleh klien mesin untuk mengambil email dari. "
"Hal ini tidak terbayangkan bahwa setiap server ini menggunakan bash script yang menyimpan, mengatakan, baris subjek email, atau Dari:. Alamat, dalam variabel pesta Jika tidak dan bash belum ditambal, maka ini email akan menghasilkan server mengeksekusi perintah -. dan, dalam hal ini, tambahkan server untuk botnet"
Sources :
Menurut Binary Defense Systems (BDS), sebuah perusahaan adik baru dari perusahaan keamanan TrustedSec, awal SHELLSHOCK payload termasuk dalam subjek, dari, hingga bidang, dan tubuh email yang dikirimkan oleh penyerang. Jika kode berbahaya dijalankan berhasil, IRC bot Perl berbasis download ke sistem korban dan SMTP gerbang terinfeksi ditambahkan ke infrastruktur botnet.
"Ini diketahui produk mana yang akan secara khusus rentan terhadap ini sejak SHELLSHOCK mengandalkan panggilan tingkat sistem dan memanfaatkan pesta namun tampaknya menjadi pengiriman besar-besaran cukup email di seluruh Amerika Serikat," kata BDS's David Kennedy dalam posting blog.
Para peneliti di SANS Institute melaporkan bahwa serangan tampaknya ditujukan terutama pada server penyedia web hosting. Menurut Kevin Liston, penangan di SANS Institute Internet Storm Center (ISC), malware ini dirancang untuk mengeksekusi didistribusikan denial-of-service (DDoS) perintah sederhana, tetapi juga mampu mengambil dan melaksanakan ancaman lainnya.
Konsultan keamanan Belgia Xavier Mertens tersandung pada salah satu email berbahaya dalam akun email pribadinya. Email tersebut datang dari sebuah alamat di mata. com, domain untuk alamat email pribadi yang sering disalahgunakan oleh penyerang, ahli mengatakan SecurityWeek melalui email.
Alamat IP dari mana payload tersebut telah diserahterimakan kepada Mertens adalah sama dengan yang dilihat oleh SANS Institute. IP (178.254.31.165) dikaitkan dengan server virtual host di sebuah perusahaan hosting yang Jerman. Server saat ini turun, kata Mertens.
"Hal tentang SHELLSHOCK adalah bahwa setiap server yang menjalankan versi rentan bash adalah rentan dan dapat dimanfaatkan jika seorang penyerang dapat mengontrol sesuatu yang ditetapkan sebagai variabel SMTP. Server tidak harus langsung diakses oleh publik," Martijn Grooten, editor Virus Bulletin, mengatakan SecurityWeek. "Masalahnya dengan SMTP adalah email yang kadang-kadang membutuhkan berbagai router internal. Misalnya, mungkin tiba di filter spam organisasi, yang dibagikan pada MTA sekunder (server mail), yang kemudian dibagikan pada server yang digunakan oleh klien mesin untuk mengambil email dari. "
"Hal ini tidak terbayangkan bahwa setiap server ini menggunakan bash script yang menyimpan, mengatakan, baris subjek email, atau Dari:. Alamat, dalam variabel pesta Jika tidak dan bash belum ditambal, maka ini email akan menghasilkan server mengeksekusi perintah -. dan, dalam hal ini, tambahkan server untuk botnet"
Sources :
0komentar:
Post a Comment