bash에 존재하는 취약점 "Shellshock"를 이용한 봇넷 공격 확인

Linux 등에서 사용되는 오픈 소스 프로그램 "Bourne Again shell (bash) '에 취약점"Shellshock」에 의해 예상되는 피해의 하나는 사이버 범죄자와 공격자가이 취약점을 이용하여 기업 또는 대규모 조직에 대해 "분산 서비스 거부 (DDoS) 공격"을 시작하는 것입니다. 이것은 이미 현실이되어 실제 "Shellshock"취약점을 안고 서버를 보유한 일부 기관에서 봇넷을 이용한 공격이 있었다는 보고 가 나와 있습니다. 봇넷 감염 PC 및 시스템에 형성되는 네트워크입니다.

트렌드 마이크로의 분석에 따르면, " ELF_BASHWOOP.A "로 감지되는이 백도어 악성 프로그램은 다음 명령을 실행합니다.

• kill
• udp
• syn
• tcpamp
• Jdildos
• http
• mineloris

또한이 악성 프로그램은 명령 및 제어 (C & C) 서버에 연결하여 명령을받습니다. 이 C & C 서버는 "ELF_BASHLITE.A "가 이용하고 있던 것과 동일합니다. "ELF_BASHLITE.A"는이 취약점을 이용하여 시스템에 침입 한 악성 프로그램으로 당사가 최초로 확인 된 것입니다. 이 C & C 서버의 IP 주소는 다음과 같습니다.

• 89 [DOT] 238 [DOT] 150 [DOT] 154

이 악성 프로그램 관련 해시는 다음과 같습니다.

• 96498e53200cfb3947cbd5357f6833a1d0605360

또한 당사는 "bash"에 존재하는 취약점을 이용하여 시스템에 침입 한 여러 악성 프로그램을 확인하고 있습니다. 이러한 악성 프로그램 탐지 이름은 다음과 같습니다.

• PERL_SHELLBOT.WZ
• ELF_BASHLITE.A
• ELF_BASHLET.A

Trend Micro 제품을 사용할 사용자가 당사의 클라우드 형 보안 기초 " Trend Micro Smart Protection Network "에 의해 지켜지고 있습니다. 특히 " Web 평판 "기술은 이러한 악성 프로그램을 탐지하고 관련된 모든 잘못된 URL을 차단합니다.

Trend Micro는 Deep Discovery Inspector 위해 다음의 규칙을 공개하고,이를 통해이 취약점을 이용한 공격을 탐지 할 수 있습니다.

• 1618-Shellshock HTTP REQUEST

또한 트렌드 마이크로의 서버를위한 종합 보안 제품 " Trend Micro Deep Security (트렌드 마이크로 딥 보안) "은 다음과 침입 방지 (DPI) 규칙에 의해 bash에 존재하는 취약점으로부터 사용자를 보호합니다.

• 1006256-GNU Bash Remote Code Execution Vulnerability

관련 기사 :

• "Shellshock": 어떻게 피해를 초래하는지 http://blog.trendmicro.co.jp/archives/9974
  
• bash에 존재하는 취약점 "Shellshock"을 이용한 공격 확인, 악성 프로그램 "BASHLITE"에 유도http://blog.trendmicro.co.jp/archives/9959
  
• bash에 존재하는 취약점 "Shellshock": "CVE-2014-7169」및 「CVE-2014-6271"http://blog.trendmicro.co.jp/archives/9957
  

"Shellshock"에 대한 정보는 계속해서 업데이트하고 있습니다. "Shellshock"대한 자세한 내용은 " 보안 블로그 "및" Shellshock 특설 페이지」도 참조하십시오.

참고 기사 :

• " Shellshock Vulnerability Used in Botnet Attacks " 
  by Trend Micro