日前,安恒信息在某政府机构网络中部署的APT产品监控到了多次"CVE-2014-6271 bash远程命令执行漏洞"告警,攻击源来自意大利、台北、奥地利、挪威、希腊、澳大利亚等多个国家,且请求报文中的Host值为"127.0.0.1",初步判断为一起利用僵尸网络发起的"恶意攻击"。
进一步对APT产品上捕获到的数据包进行分析后,研究人员发现这次攻击事件主要是基于bash漏洞植入的IRC-BOT进行跨平台攻击。
BASH脚本分析
首先,攻击者会从hxxp://183.14.***.***/ *s0.sh下载sh脚本并运行:
对这个sh脚本进行下载分析发现,该脚本由攻击者精心构造,可以实现针对多种类型平台的攻击,包括有arm、linux -x86、linux-x64,基本的攻击思路为:首先判断平台类型,然后修改用户DNS为8.8.8.8, 再针对不同平台下载相应的恶意程序,以达到恶意攻击的目的。
如果被攻击的平台上是arm架构,首先会从制定的地址Hxxp://185.14.xxx.xxx/.cgi和Hxxp://185.14.xxx.xxx/armgH.cgi下载arm架构下的IRC-bot,并写入自启动,然后又会从http://ipkg.nslu2-linux.org/feeds/optware/cs05q3armel/cross/unstable/ipkg-opt_0.99.163-10_arm.ipk 下载ipkg(ipkg是一个软件安装管理工具),最后使用ipkg安装openssh,并把ssh的端口改为26。攻击代码部分截图如下:
接着新建了一个叫做"request"的用户名,设置预定义的密码,然后利用该用户获取目标服务器的权限。
攻击者为了避免被发现达到对系统长期占用的目的,它中完了botnet后,还给有问题的系统打了BASH补丁。
最后还下载了叫做run的bash脚本,脚本内容如下
这个run脚本主要作用是下载叫pnscan的恶意程序,它主要是扫描程序,从调用参数可以看见它是全网段扫描的,实现对更多的主机进行攻击。另外按照bash漏洞出来的时间可以推测出这个脚本是2014-12-3日编写。
IRC-BOT分析:
通过分析研究人员发现上面提到的恶意软件都是功能相同架构不同的IRC-BOT,它们都使用了upx进行加密。
首先脱壳,然后能解密出两个恶意的irc服务器地址
174.140.xxx.188:26667
216.55.xxx.182:26664
接着被感染的设备会登入到irc服务器上等待接受指令。
部分指令截图:
具体含义是:
.login 登入
.logout 等出
.advscan 扫描
.exec 执行系统命令
.version 显示版本
.status 显示状态
.help 打印帮助
.stop 停止
.spoof 设置攻击ip
.synflood syn包洪水攻击
.ngsynflood gsyn包洪水攻击
.ackflood ack 包洪水攻击
.ngackflood ngack包洪水攻击
经过对事件进行关联分析发现,该攻击事件最早起始于2014年12月5号,且截止发稿前攻击事件仍在持续,因此基本确认该事件是一起"持续性的有组织攻击"。
安恒信息研究人员已第一时间通知该政府机构,对该事件进行处理,将攻击的影响降低到最小,同时安恒信息建议各位用户及时关注最新安全漏洞,采用全面的安全防护方案,包括各种已知和未知攻击的防护,实时感知最新的安全状况,以采取针对性的安全防护措施。
建议关注安恒信息网站安全风暴中心官方微信号,及时获取最新安全漏洞资讯:DBAPP2013