【IT168 资讯】日前,安恒信息在某政府机构网络中部署的APT产品监控到了多次“CVE-2014-6271 bash远程命令执行漏洞”告警,攻击源来自意大利、台北、奥地利、挪威、希腊、澳大利亚等多个国家,且请求报文中的Host值为“127.0.0.1”,初步判断为一起利用僵尸网络发起的“恶意攻击”。
▲
进一步对APT产品上捕获到的数据包进行分析后,研究人员发现这次攻击事件主要是基于bash漏洞植入的IRC-BOT进行跨平台攻击。
▲
BASH脚本分析
首先,攻击者会从hxxp://183.14.***.***/ *s0.sh下载sh脚本并运行:
▲
对这个sh脚本进行下载分析发现,该脚本由攻击者精心构造,可以实现针对多种类型平台的攻击,包括有arm、linux –x86、linux-x64,基本的攻击思路为:首先判断平台类型,然后修改用户DNS为8.8.8.8, 再针对不同平台下载相应的恶意程序,以达到恶意攻击的目的。
▲
