سوء استفاده از Shellshock برای گسترش شبکه های مخرب

ضعف امنیتی Shellshock همچنان خبرساز است. نفوذگران با سوء استفاده از این ضعف امنیتی اقدام به آلوده ساختن و نصب یک بدافزار به نام Mayhem بر روی سرورهای Linux می کنند.

بدافزار Mayhem در زمستان سال گذشته کشف و شناسایی شد. این بدافزار از طریق یک برنامه PHP Script که توسط نفوذگر و با سوء استفاده از رمزهای ftp افشا شده یا کشف شده با سعی و خطا، بر روی سرور قربانی قرار می گیرد، نصب و فعال می شود.

بخش اصلی بدافزار Mayhem یک فایل ELF یا Executable and Linkable Format است که پس از نصب، اقدام به دریافت افزونه (plug-in)های مخربی می کند که بصورت مخفی و رمزگذاری شده، بر روی سرور قربانی نگهداری می شوند. این افزونه های مخرب امکان شناسایی و حمله به سرورهای آسیب پذیر دیگر را برای فرد نفوذگر فراهم می آورند.

در حال حاضر پیش بینی می شود که بیش از 1400 سرور Linux آلوده به بدافزار Mayhem هستند و این سرورهای آلوده تحت کنترل دو مرکز فرماندهی قرار دارند و بصورت یک شبکه مخرب (Botnet) واحد عمل می کنند.

بر اساس مشاهدات اخیر به نظر می رسد که گردانندگان بدافزار Mayhem قابلیت سوء استفاده از نقطه ضعف Shellshock را هم به این بدافزار اضافه کرده اند تا توان انتشار بیشتری به آن بدهند.

نقطه ضعف Shellshock در نرم افزار “متن باز” (Open Source) به نام GNU Bash است که تقریباً در تمام نسخه های سیستم عامل لینوکس و حتی سیستم عامل Apple OS X بکار رفته است. این ابزار نرم افزاری یک رابط و وسیله ای برای ارتباط بین کاربر و کامپیوتر است. سوء استفاده از نقطه ضعف Shellshock در این نرم افزار، امکان صدور فرامین مخرب و یا ناخواسته به سیستم عامل را فراهم می آورد. در بررسی های بیشتر، چند نقطه ضعف مشابه دیگر نیز در این نرم افزار کشف شده اند و اکنون به جمع این نقاط ضعف مشابه، عنوان Shellshock اطلاق می شود.

در حملات Shellshock که توسط بدافزار Mayhem صورت می گیرد، سرورهای تحت وب که قابلیت CGI دارند، هدف قرار می گیرند. پس از شناسایی سرورهای آسیب پذیر به ضعف امنیتی Shellshock، با سوء استفاده از این ضعف، یک برنامه PHP Script را بر روی سرور اجرا می شود. این script حاوی فایل مخرب ELF است که نسخه های 32 و 64 بیتی آن متناسب با نوع پردازنده سرور به اجرا در می آید.

با اجرای فایل ELF یک شاخه سیستمی و مخفی بر روی سرور قربانی ایجاد می شود و افزونه های مخرب دریافت و در این شاخه قرار می گیرند. مشاهدات اخیر نشان می دهد که یکی از این افزونه ها قابلیت سوء استفاده از ضعف های امنیتی Shellshock را دارند.

سرورهای آلوده به Mayhem که یک شبکه مخرب واحد را تشکیل می دهند تاکنون در کشورهای انگلیس، اندونزی، لهستان، اتریش، استرالیا و سوئد شناسایی شده اند.

اغلب توزیع کنندگان نسخه های Linux اصلاحیه های لازم برای رفع و ترمیم نقطه ضعف Shellshock را عرضه کرده اند. ولی متاسفانه بسیاری از سرورها به نحوی تنظیم شده اند که بطور خودکار به روز نمی شوند.