亚洲日本免费-啊轻点灬太粗太长了三男一女-麻豆av电影在线观看-日韩一级片毛片|www.grbbt.com

　　日前，安恒信息在某政府機構(gòu)網(wǎng)絡中部署的APT產(chǎn)品監(jiān)控到了多次"CVE-2014-6271 bash遠程命令執(zhí)行漏洞"告警，攻擊源來自意大利、臺北、奧地利、挪威、希臘、澳大利亞等多個國家，且請求報文中的Host值為"127.0.0.1"，初步判斷為一起利用僵尸網(wǎng)絡發(fā)起的"惡意攻擊"。

　　進一步對APT產(chǎn)品上捕獲到的數(shù)據(jù)包進行分析后，研究人員發(fā)現(xiàn)這次攻擊事件主要是基于bash漏洞植入的IRC-BOT進行跨平臺攻擊。

　　BASH腳本分析

　　首先，攻擊者會從hxxp：//183.14.***.***/ *s0.sh下載sh腳本并運行：

　　對這個sh腳本進行下載分析發(fā)現(xiàn)，該腳本由攻擊者精心構(gòu)造，可以實現(xiàn)針對多種類型平臺的攻擊，包括有arm、linux -x86、linux-x64，基本的攻擊思路為：首先判斷平臺類型，然后修改用戶DNS為8.8.8.8， 再針對不同平臺下載相應的惡意程序，以達到惡意攻擊的目的。

　　如果被攻擊的平臺上是arm架構(gòu)，首先會從制定的地址Hxxp：//185.14.xxx.xxx/.cgi和Hxxp：//185.14.xxx.xxx/armgH.cgi下載arm架構(gòu)下的IRC-bot，并寫入自啟動，然后又會從http：//ipkg.nslu2-linux.org/feeds/optware/cs05q3armel/cross/unstable/ipkg-opt_0.99.163-10_arm.ipk 下載ipkg（ipkg是一個軟件安裝管理工具），最后使用ipkg安裝openssh，并把ssh的端口改為26。攻擊代碼部分截圖如下：

　　接著新建了一個叫做"request"的用戶名，設置預定義的密碼，然后利用該用戶獲取目標服務器的權(quán)限。

　　攻擊者為了避免被發(fā)現(xiàn)達到對系統(tǒng)長期占用的目的，它中完了botnet后，還給有問題的系統(tǒng)打了BASH補丁。

　　最后還下載了叫做run的bash腳本，腳本內(nèi)容如下

　　這個run腳本主要作用是下載叫pnscan的惡意程序，它主要是掃描程序，從調(diào)用參數(shù)可以看見它是全網(wǎng)段掃描的，實現(xiàn)對更多的主機進行攻擊。另外按照bash漏洞出來的時間可以推測出這個腳本是2014-12-3日編寫。

　　IRC-BOT分析：

　　通過分析研究人員發(fā)現(xiàn)上面提到的惡意軟件都是功能相同架構(gòu)不同的IRC-BOT，它們都使用了upx進行加密。

　　首先脫殼，然后能解密出兩個惡意的irc服務器地址

　　174.140.xxx.188：26667

　　216.55.xxx.182：26664

　　接著被感染的設備會登入到irc服務器上等待接受指令。

　　部分指令截圖：

　　具體含義是：

　　.login  登入

　　.logout  等出

　　.advscan  掃描

　　.exec   執(zhí)行系統(tǒng)命令

　　.version  顯示版本

　　.status  顯示狀態(tài)

　　.help    打印幫助

　　.stop  停止

　　.spoof       設置攻擊ip

　　.synflood  syn包洪水攻擊

　　.ngsynflood   gsyn包洪水攻擊

　　.ackflood  ack 包洪水攻擊

　　.ngackflood ngack包洪水攻擊

　　經(jīng)過對事件進行關(guān)聯(lián)分析發(fā)現(xiàn)，該攻擊事件最早起始于2014年12月5號，且截止發(fā)稿前攻擊事件仍在持續(xù)，因此基本確認該事件是一起"持續(xù)性的有組織攻擊"。

　　安恒信息研究人員已第一時間通知該政府機構(gòu)，對該事件進行處理，將攻擊的影響降低到最小，同時安恒信息建議各位用戶及時關(guān)注最新安全漏洞，采用全面的安全防護方案，包括各種已知和未知攻擊的防護，實時感知最新的安全狀況，以采取針對性的安全防護措施。

　　建議關(guān)注安恒信息網(wǎng)站安全風暴中心官方微信號，及時獲取最新安全漏洞資訊：DBAPP2013