Opbygger botnet via Shellshock-sårbarhed

En flok hackere - formentligt rumænere - har udnyttet den seneste store sårbarhed, Shellshock, til at lave et botnetværk.

En sikkerhedsefterforsker mener, at han har afsløret et botnet, som er ved at blive bygget op af Rumænske hackere, som udnytter det såkaldte ”Shellshock” sikkerhedshul. Det skriver Ars Technica.

Rumænerne udnytter ”Shellshock” mod kendte sider som Yahoo og WinZip, hvis servere de udnytter i opbyggelsen af deres netværk.

Læs også: Center for Cybersikkerhed efter sen Shellshock-advarsel: »Ikke vores opgave at informere bredt om nye sårbarheder«

Jonathan Hall, præsident og senioringeniør hos teknologikonsulentfirmaet, Future South Technologies har beskrevet, hvordan han har fundet frem til botnettet, og at han har kommunikeret med Yahoo, som har erkendt, at de har fundet spor af botnettet i to af deres servere.

Hall fandt botnettet ved at spore kilden fra den anmodning, som undersøgte hans servere for sårbare CGI-serverscripts, som kan udnyttes via Shellstock-svagheden.

Læs også: Patch-kaos i kølvandet på Shellshock: Flere sikkerhedshuller skaber forvirring

Hall sporede kilden tilbage til Winzip.com-server, hvor han brugte sin egen exploit af buggen til at undersøge de processer, der kørte på Winzip-serveren, hvor han identificerede en Perl.script, som hed ha.pl.

Ved at kigge nærmere på scriptet fandt han ud af, at der var tale om en Internet-Ralay-Chat-bot (IRC) lig dem, der bruges til DDOS-angreb, ved nærmere undersøgelser viste det sig, at chatten reporterede tilbage til en anden IRC-kanal, hvor koden blev kommenteret voldsomt på rumænsk.

Hall siger, at han har notificeret både FBI og Winzip.

Læs også: Shellshock: Linux- og Mac-systemer ramt af omfattende og alvorlig sårbarhed

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (0)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Log ind eller Opret konto for at kommentere