Opbygger botnet via Shellshock-sårbarhed
En sikkerhedsefterforsker mener, at han har afsløret et botnet, som er ved at blive bygget op af Rumænske hackere, som udnytter det såkaldte ”Shellshock” sikkerhedshul. Det skriver Ars Technica.
Rumænerne udnytter ”Shellshock” mod kendte sider som Yahoo og WinZip, hvis servere de udnytter i opbyggelsen af deres netværk.
Jonathan Hall, præsident og senioringeniør hos teknologikonsulentfirmaet, Future South Technologies har beskrevet, hvordan han har fundet frem til botnettet, og at han har kommunikeret med Yahoo, som har erkendt, at de har fundet spor af botnettet i to af deres servere.
Hall fandt botnettet ved at spore kilden fra den anmodning, som undersøgte hans servere for sårbare CGI-serverscripts, som kan udnyttes via Shellstock-svagheden.
Hall sporede kilden tilbage til Winzip.com-server, hvor han brugte sin egen exploit af buggen til at undersøge de processer, der kørte på Winzip-serveren, hvor han identificerede en Perl.script, som hed ha.pl.
Ved at kigge nærmere på scriptet fandt han ud af, at der var tale om en Internet-Ralay-Chat-bot (IRC) lig dem, der bruges til DDOS-angreb, ved nærmere undersøgelser viste det sig, at chatten reporterede tilbage til en anden IRC-kanal, hvor koden blev kommenteret voldsomt på rumænsk.
Hall siger, at han har notificeret både FBI og Winzip.
...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.
Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.
Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.
Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.
