四、2014网络安全APT攻击专题分析

　　1、警惕利用Bash漏洞的IRC-BOT

　　(1)、什么是Bash安全漏洞

　　继2014年4月的“Openssl心脏流血”漏洞之后，另一个重大互联网威胁于2014年9月24日爆发，GNU Bash(Bourne again shell)4.3及之前版本在处理某些构造的环境变量时存在安全漏洞，可能允许攻击者远程执行任意命令，GNU Bash漏洞编号为CVE-2014-6271。

　　经过研究确认，此漏洞可能会影响到使用ForceCommand功能的OpenSSH sshd、使用mod_cgi或mod_cgid的Apache服务器、DHCP客户端、其他使用bash作为解释器的应用等。而使用mod_php/mod_python/mod_perl的Apache httpd不受此问题影响。

　　百度百科的介绍显示，Bash(GNU Bourne-Again Shell)是大多数Linux系统以及Mac OS X v10.4默认的shell，它能运行于大多数Unix风格的操作系统之上，甚至被移植到了Microsoft Windows上的Cygwin系统中，以实现Windows的POSIX虚拟接口。此外，它也被DJGPP项目移植到了MS-DOS上。

　　而Bash的命令语法是Bourne shell命令语法的超集。数量庞大的Bourne shell脚本大多不经修改即可以在Bash中执行，只有那些引用了Bourne特殊变量或使用了Bourne的内置命令的脚本才需要修改。可以说，Bash是类Unix系统的核心，如果Bash出现了漏洞，则说明攻击者可以控制机器一切。

　　(2)、Bash安全漏洞攻击分析

　　近期，安恒信息安全研究院也监控到了大量利用Bash安全漏洞进行的攻击，我们主要是对这次的攻击使用的Bash脚本和植入的IRC-BOT进行分析。

　　Bash脚本分析

　　我们在明御?APT攻击(网络战)预警平台上发现了攻击者发送的数据包如下:

　　攻击者会从http://183.14.***.***/ *s0.sh下载sh脚本并运行。

　　攻击脚本部分截图如下：

　　这个sh攻击脚本针对了多个平台进行攻击,包括有arm、linux –x86、linux-x64,但是基本的攻击思路差不多。

　　1.它首先修改用户DNS为8.8.8.8, 然后针对不同平台下载不同恶意程序。

　　2.当被攻击的平台上是arm架构时,它首先从地址:

　　下载arm架构下的IRC-bot,并写入自启动。

　　3.从http://ipkg.nslu2-linux.org/feeds/optware/cs05q3armel/cross/unstable/ipkg-opt_0.99.163-10_arm.ipk 下载ipkg(ipkg是一个软件安装管理工具)