Desde el blog de Websense
Security Labs:
En el área de la seguridad de la información sin
duda se recordará el año 2014 como un período infame debido a por lo menos dos
vulnerabilidades que afectaron a la mayor parte de la infraestructura y de los
usuarios de Internet: Heartbleed y Shellshock. Si bien la mayoría de los administradores de
sistemas se las arregló para aplicar parches que mitigaran estas amenazas lo
antes posible, lamentablemente, a pesar de que pasó un año desde que se conoció
Heartbleed y cerca de siete meses desde la aparición de Shellshock, todavía hay
una gran cantidad de sistemas que siguen siendo vulnerables. Websense® Security Labs™ descubrió, a través de uno de nuestros honeypots, un gusano simple pero agresivo que está circulando, el cual explota
la vulnerabilidad de Shellshock para realizar un reconocimiento. Aparentemente
en la actualidad los atacantes solo están mapeando a los servidores vulnerables,
y esto podría ser el preludio de un ataque mayor y más destructivo. El reconocimiento es
el primer paso en la cadena de ataques cibernéticos, y si se bloquean
los ataques en esta etapa, se eliminan los daños potenciales.
Los clientes de Websense están protegidos de esta
amenaza con ACE, nuestro Motor de Clasificación Avanzada, en la Etapa 5 (Archivos dropper). ACE detecta los archivos asociados a este ataque.
El gusano
Un
fallido intento de explotación por parte del gusano
El gusano aprovecha la vulnerabilidad de Shellshock
para obtener acceso al sistema. Si la explotación tiene éxito, posteriormente
descarga y ejecuta un shell script
que, a su vez, descarga y desempaqueta un tarball (.tar) que contiene el gusano
. Posteriormente, se libera dicho gusano.
Si la explotación tiene éxito, se ejecuta este shell
script.
El gusano tiene versiones para sistemas de 32 y de
64 bits. Por otra parte, los atacantes utilizan el idioma rumano en varios
lugares en el código binario, lo cual indica que el malware podría ser de
origen rumano. Fue diseñado para que solicite una lista de IPs a su Servidor de
Comando y Control (C&C) predefinido en el código, de modo que éste pueda intentar explotar también la
vulnerabilidad de Shellshock en los hosts.
El principal shell script del gusano, apodado
“config”, es responsable de
obtener una lista de IPs, iniciar el scanner y luego invocar a otro script para
transmitir el resultado nuevamente al servidor de C&C.
El objetivo subyacente del gusano al parecer es identificar
una gran cantidad de IPs que podrían ser vulnerables a Shellshock. Además, una vez que
los atacantes tienen acceso a estos sistemas a través de Shellshock (suponiendo
que los administradores de sistemas no hayan aplicado parches en sus sistemas
en este lapso de tiempo), podrían decidir en cualquier momento lanzar otros ataques
adicionales. Los atacantes
podrían usar estos hosts para una serie de actividades maliciosas, que
incluyen, entre otras posibles, ataques DDoS, insertar código malicioso en un
sitio web, robar información de identificación personal y credenciales o utilizar
el host como servidor de C&C para diversos ataques.
Conclusión
Este gusano es un malware simple, quizás desarrollado
por amateurs. Sin embargo, vale la pena señalar que sigue teniendo éxito, aún siete meses después del anuncio de la
vulnerabilidad de Shellshock. ¿Está infectando agresivamente una gran cantidad de
hosts, dado que aún siguen siendo vulnerables a Shellshock? Los atacantes tienen
tiempo y, una vez más, usaron viejas vulnerabilidades para explotar los
sistemas, y claramente ese es el caso en esta oportunidad. Si no se aplican parches en los sistemas y no se los
mantiene actualizados, los atacantes no necesitarán usar avanzados ataques de
día cero para infectarlos. Si usted
todavía no aplicó un parche, este es el momento de hacerlo. Más vale tarde que
nunca.
Para obtener más información por favor visite el blog de Websense Security Labs: http://community.websense.com/blogs/securitylabs/archive/2015/04/14/shellshock-not-a-can-of-worms-if-you-patch.aspx
No hay comentarios:
Publicar un comentario