4.使用ipkg安装openssh,并把ssh的端口改为26。攻击代码部分截图如下:
5.当被攻击的平台上是linux-x86时:
它和arm差不多,只不过是从
下载linux-x86架构下的IRC-bot,其他都操作一样 。
6.当被攻击的平台上是linux-x64时:
它依然上面的一样,下载地址变成了:
其他都操作一样。
7.接着新建了一个叫做“request”的用户名,密码未知(暂时未破解)。
在twitter上我们看见有人公开发现是在12月5日。
攻击者为了达到对系统长期的占用,将系统植入木马成为僵尸网络的一部分后,还给有问题的系统打了Bash补丁。
最后还下载了叫做run的bash脚本,脚本内容如下
这个run脚本主要作用是下载叫pnscan的恶意程序,它主要是扫描程序,从调用参数可以看见它是全网段扫描的。
按照Bash漏洞出来的时间可以推测出这个脚本是2014-12-3日编写。
IRC-BOT分析
通过简单的分析我们发现上面提到的恶意软件都是功能相同架构不同的IRC-BOT,它们都使用了upx进行加密
首先脱壳,然后能解密出两个恶意的irc服务器地址
接着被感染的设备会登入到irc服务器上等待接受指令,部分指令截图:
具体含义是:
在分析的过程中我们发现它是某个开源的程序,由于危害性我们就不给出链接了。
(3)、尽快升级Bash
安恒信息研究院提醒用户按照GUN Bash官方指导意见进行升级:
安恒信息服务中心团队在对客户进行技术支持的过程中,发现有对其服务设备通过yum命令对GUN bash升级版本的时候由于yum镜像点没有更新,而且不同的linux发行版本更新命令也不一样,导致升级失败或者升级过程中体验不佳。经安全信息服务中心团队多次测试,建议有相同问题的其他客户通过iptables来对bash漏洞进行阻断,该方法适用于所有linux的发行版本:
两条命令如下:
同时安恒信息研发中心迅速组织经验丰富的开发团队,对明鉴和明御两大系列产品进行策略升级,用户在升级安恒信息的产品后能快速识别或防御该漏洞信息。如网站用户可以升级明鉴WEBSCAN扫描器进行扫描GUN Bash漏洞,升级明御WEB应用防火墙可以防护该漏洞;系统运维人员可以使用明鉴等保检查工具箱中系统漏洞检查工具批量检查Linux服务器是否存在Bash漏洞。