摘自:freebuf.com
根据互联网最新消息,Bash破壳漏洞(CNNVD-201409-938)最新利用方法引发的新一轮攻击正在酝酿中,这一次,破壳漏洞形成的僵尸网络利用的是邮件服务器SMTP主机,目标是全球SMTP网关。这次“破壳”利用的就是感染SMTP网关,试图在MTAs/MDAs中寻找可利用弱点,然后攻击者把恶意代码隐藏在消息数据报头中。安全中心描述了一个用Perl编写的IRC DDoS Robot,其Payload拥有“获取和执行远程代码的能力”。 下面一个图片就是包含“破壳”有效载荷的初始邮件攻击例子:
那些已被破坏系统试图通过破壳漏洞传播僵尸网络,并在每个主要头字段使用“破壳”漏洞下载僵尸网络脚本。攻击者利用的字段有:“To:”字段、“From:”字段、 “Subject”字段、 “Date:”字段、 “Message ID:” 等还有其他未发现字段。
据透露,为了感染SMTP网关,并把它添加到现有僵尸网络设备中去,有一个curl/wget/fetch/perl/lwp/etc的方法正在试图从耶利哥安全团队(Jericho Security Team)摧毁基于perl的僵尸网络。
自从九月初发现“破壳”起,漏洞已经针对目标,在不同类型的设备上被重复利用了许多次。许多安全专家也相继发现了多次利用“破壳”漏洞攻击全球设备的僵尸网络,包括攻击VOIP系统和利用竞选传播恶意软件的混乱的僵尸网络。