Skip to content

ShellShock - Die Angriffe

Geschrieben von Carsten Eilers am um 14:50

In diesem Text finden Sie alle Informationen über die Angriffe auf/über die ShellShock-Schwachstelle im Überblick.

tl;dr: Eine Schwachstelle in der Unix-Shell Bash erlaubt Angreifern das Ausführen beliebiger Befehle über das Internet. Und das wird weidlich ausgenutzt. "Nebenan" gibt es eine kompakte Zusammenfassung der wichtigsten Informationen.

25. September - Die ersten Angriffe finden statt

Am 25. September wurden die ersten Angriffe über die ShellShock-Schwachstelle gemeldet:

  • Von Yinette (@yinettesys) wurde schon am Abend des 24.9. auf GitHub ein "in the wild" beobachteter Angriff veröffentlicht. Die dabei eingeschleuste Backdoor wurde am 25.9. auf VirusTotal von keinem Virenscanner erkannt (und selbst am 29. September erkennen erst 30 von 54 Scannern den Schädling, wobei man Windows-Scannern nicht wirklich vorwerfen darf, dass sie Linux-Schädlinge nicht erkennen).
    In den Kommentaren auf GitHub wurden daraufhin weitere Angriffe gemeldet.
  • Das australische AusCERT kommentiert das Security Advisory von Debian Linux zur Bash-Schwachstelle mit den Worten "AusCERT has received reports that this vulnerability is currently being exploited in the wild. Administrators should patch vulnerable systems as soon as possible."
  • Trend Micro meldet ebenfalls Angriffe über die Schwachstelle, dort heißt der darüber eingeschleuste Schädling (der mit dem von Yinette entdeckten identisch ist) ELF_BASHLITE.A. Es handelt sich dabei um eine klassische Hintertür, über die verschiedene Befehle ausgeführt, Brute-Force-Angriffe auf Logins durchgeführt und Daten ausgespäht werden können.
  • Michael Bulat hat auf GitHub Code für einen Angriff veröffentlicht, der ein Perl-Skript einschleust. Dabei handelt es sich um eine bekannte Botnet-Backdoor namens ShellBot.
  • AlienVault hat seine Honeypots sofort nach Bekanntwerden an die Erkennung der Schwachstelle angepasst und innerhalb der ersten 24 Stunden neben etlichen reinen Scans zwei reale Angriffe beobachtet. Einmal wird die bereits bekannte Linux-Backdoor installiert, einmal der Perl-Bot. Der Bot verbindet sich mit einem IRC-Server, mit dem zum Zeitpunkt der ersten Prüfung durch AlienVault 715 Benutzer verbunden waren, es gab also vermutlich bereits 715 Opfer des Bots. Nachdem der Honeypot Verbindung mit dem Server aufgenommen hat sind noch mindestens 20 weitere hinzu gekommen.
  • Sucuri hat viele verschiedene Angriffe registriert, unter anderen Versuche zum Öffnen einer Shell und zum Einschleusen von Schadsoftware.

26. September - Die Angriffe nehmen zu

Die Angriffe nehmen weiter zu: Ein wopbot genanntes Botnet scannt das Internet nach angreifbaren Systemen, einschließlich denen des US-Verteidigungsministeriums (United States Department of Defence), um sich dann über die ShellShock-Schwachstelle zu verbreiten. Bisher wurde das Botnet bereits für DDoS-Angriffe auf Akamai eingesetzt.

Auch Trend Micro hat Neues zu den Angriffen über die Schwachstelle zu berichten:

  • Man konnte zwei der Command&Control-Server für die darüber eingeschleusten Hintertür ELF_BASHLITE untersuchen. Demnach werden die darüber aufgebauten Botnets für DDoS-Angriffe genutzt.
  • Neue Angriffe wurden in Brasilien beobachtet, dort haben die Angreifer es auf "official institutions" abgesehen, es wird aber kein Code eingeschleust, sondern nur Informationen über die Systeme gesammelt.

27. September - Und noch mehr Angriffe

FireEye hat eine Übersicht über die verschiedenen Angriffe "in the wild" veröffentlicht. Bisher wurden beobachtet:

  • Klickbetrug - Über die Schwachstelle wird ein Aufruf an eine Webseite ausgelöst, die dort als Klick eines Benutzers gewertet wird.
  • Reverse-Shell - Es wird eine neue Bash-Shell gestartet und an einen Netzwerk-Socket gebunden, so dass der Angreifer darauf zugreifen und den Rechner kontrollieren kann.
  • Kopieren von /etc/passwd - Über die Bash wird die "Passwortdatei" (die inzwischen zwar keine Passwörter mehr enthält, aber immerhin noch die Benutzernamen) an den Angreifer geschickt.
  • E-Mail-basierte Tests - Es werden Befehle eingeschleust, die eine E-Mail an den Angreifer schicken, wenn der Angriff erfolgreich ist. Danach dürften dann weitere Angriffe auf die so als angreifbar erkannten Server erfolgen.
  • Einschleusen eines Perl-Skripts mit einer Reverse-Shell (genannt Bashattack), über die die Angreifer dann auf den Server zu greifen können.
  • Installation eines IRC-basierten DDoS-Clients, der auch als Backdoor funktioniert (genannt Tsunami/Kaiten)
  • Einschleusen eines PHP-Skripts, dass UDP-Pakete an einen Server senden kann und daher wohl für DoS-Angriffe mittels UDP-Flooding genutzt werden soll.
  • Installation von Perl.Shellbot, einem weiteren IRC-basierten DDoS-Client mit Backdoor-Funktionen. Dabei wird zuerst wie oben beschrieben eine Reverse-Shell geöffnet und darüber dann Python-Code eingeschleust, der wiederum das Perl-Skript installiert - entweder wollte da jemand zeigen, wie viele Computersprachen er spricht, oder der Angriff wurde aus verschiedenen Quellen zusammen gesetzt.
  • Installation einer weiteren Perl.Shellbot-Variante
  • Installation einer Reverse-Shell als ELF-Executable - wenn man weder die Bash selbst noch eine Perl-Shell nutzen möchte kann man ja auch selbst ein ausführbares Programm einschleusen.

29. September - Jede Menge Angriffe

Am Sonntag, dem 28. September gab es sicher Angriffe, aber nur über einen wurde berichtet: Trend Micro meldet einen neuen Angriff in China: Bei einer "financial institution" wurden Systeminformationen ausgespäht.

Am 29. September hat Incapsulat Statistiken über die von seinen Web Application Firewalls abgewehrten Angriffe veröffentlicht. Insgesamt wurden bis zum 29. September mehr als 217.089 Exploit-Versuche an mehr als 4.115 Domains gezählt. Die teilen sich folgendermaßen auf:

  • 68,27% sind Scan-Versuche, es wird also "nur" nach angreifbaren Servern gesucht.
  • 18,37% sind Versuche, eine Shell zu öffnen oder einzuschleusen, die Angreifer wollen also direkt auf den Server zugreifen.
  • 16,64% sind Versuche, einen DDoS-Schädling einzuschleusen und damit den Server zum Teil eines Botnets zu machen.
  • 0,7% sind Versuche, den Server mit einem IRC-Bot zu infizieren und damit ebenfalls zum Teil eines Botnets zu machen.
  • 0,02% sind Versuche, den Server zum Senden eines Requests an einen anderen Server zu bringen.

Nachtrag 2.10.2014:

1. Oktober - Angriffe auf NAS

FireEye hat Angriffe auf NAS-Systeme beobachtet. Bisher überwiegend in Japan und Korea sowie einen vereinzelten Angriff in den USA, aber das hat ja nicht viel zu bedeuten. Übers Internet ist jedes NAS nur ein Paar Klicks vom Angreifer entfernt.

Bisher konzentrieren sich die Angriffe auf Qnap-Systeme, auf denen der bereits veröffentlichte Patch nicht installiert ist. Die Angreifer verschaffen sich Zugriff auf das NAS und fügen ihren SSH-Schlüssel zu den vertrauenswürdigen Schlüsseln in der Datei authorized_keys hinzu und installieren eine Hintertür. Dadurch können sie danach jederzeit auf das NAS zugreifen. Der Angriff wird in FireEyes Bericht ausführlich beschrieben.

Nachtrag 6.10.2014:

5. Oktober - Download von KAITEN-Sourcecode

Trend Micro berichtet über eine weitere Angriffsmethode: Die Angreifer laden den Sourcecode der DoS-Software KAITEN herunter und kompilieren sie auf dem angegriffenen System. Damit gehen sie möglichen Kompatibilitätsproblemen aus dem Weg, da der neu kompilierte Schädling genau zum System passt. Außerdem entgeht der Sourcecode während des Downloads sicher eher einer Entdeckung als ein fertig kompiliertes Programm. Besonders interessant ist auch, dass der Schädling sowohl für Linux als auch für Mac OS X bereit steht. Apple meint zwar, dass nur die wenigsten Mac-OS-X-Rechner angreifbar sind (und ich neige dazu, Apple dabei recht zu geben), aber die Cyberkriminellen scheinen zumindest so viele potentielle Opfer zu sehen, dass sie sich bereit machen, sie an zu greifen.

Nachtrag 8.10.2014:

7. Oktober - Verschiedene prominente Webserver kompromittiert

Jonathan Hall hat herausgefunden, dass verschiedene prominente Webserver über die ShellShock-Schwachstelle kompromittiert wurden. Er hat erst mit einem selbst entwickelten Tool nach über ShellShock angreifbaren Servern gesucht und diese dann nach Spuren einer Kompromittierung durchsucht. Sehr oft hat er Spuren eines "perl-based IRC DDoS bots" gefunden. Einige dieser Bots haben auch die Fähigkeit, sich selbst zu verbreiten.

Unter den Opfern sind Server von Yahoo!, Lycos und WinZip. Während WinZip den Angriff bestätigt hat, hat Lycos ihn abgestritten

Yahoo hat zwar einen Angriff zugegeben, dafür aber eine andere Schwachstelle verantwortlich gemacht. Der Angreifer hätte zwar versucht, die ShellShock-Schwachstelle auszunutzen, die war aber bereits gepatcht. Der verwendete Exploit funktionierte aber zufällig auch für einen "command injection bug in a monitoring script our Sports team was using at that moment to parse and debug their web logs", so dass die eingeschleusten Befehle trotz gepatchter ShellShock-Schwachstelle ausgeführt wurden.

Jonathan Hall hält diese Erklärung für falsch, da der eigentlich Angriff auf einen anderen Yahoo!-Server erfolgt sei, von dem aus dann auf die laut Yahoo! angegriffenen Server zugegriffen wurde. Er hat das später noch weiter ausgeführt.

Seine ungefragte Suche nach angreifbaren Server sowie den Zugriff darauf kann man durchaus selbst als Angriff sehen. Was ihm auch einen Besuch des FBIs eingebracht hat. Aber er ist der Meinung, richtig gehandelt zu haben.

Nachtrag 9.10.2014:

7. Oktober - Botnet "Mayhem" für Teil der Angriffe verantwortlich

Yinette (s.o.) hat einen weiteren Angriff entdeckt: Das Botnet "Mayhem" nutzt die ShellShock-Schwachstelle, um erst ein Perl-Skript und dann darüber eine Backdoor als ELF-Binary einzuschleusen.

Nachtrag 28.10.2014:

24. Oktober - Angriffe über SMTP

Das Internet Storm Center und Binary Defense Systems melden Versuche, die Schwachstelle via SMTP auszunutzen. Der Exploit wird dabei über verschiedene Mailheader eingeschleust. Die Payload ist mal wieder ein IRC-Perl-Bot, in sofern also nichts Neues. Und das Angriffe über SMTP möglich sind ist ja auch schon länger bekannt. Nur wurden sie bisher nicht im größeren Maßstab "in the wild" gesichtet.

Carsten Eilers

Übersicht über alle Artikel zum Thema

Alles, was Sie über ShellShock wissen müssen
ShellShock - Die Schwachstellen und Angriffsvektoren
ShellShock - Die Angriffe
ShellShock - Chronologie und Details: Tag 1 - Der 24. September 2014
ShellShock - Chronologie und Details: Tag 2 - Der 25. September 2014
ShellShock - Chronologie und Details: Tag 3 - Der 26. September 2014
ShellShock - Chronologie und Details: Tag 4 - Der 27. September 2014
ShellShock - Chronologie und Details: Tag 6 - Der 29. September 2014
ShellShock - Chronologie und Details: Tag 8 - Der 1. Oktober 2014

Trackbacks

Dipl.-Inform. Carsten Eilers am : Links, jede Menge Links. Und ganz wenig Kommentare.

Vorschau anzeigen
Da mir die Zeit heute etwas knapp geworden ist gibt es mal wieder nur jede Menge Links und ganz wenige Kommentare. Neues zu den aktuelle 0-Day-Exploits Los geht es mit den aktuellen 0-Day-Exploits für die OLE- Schwachstellen: F-Secure

Dipl.-Inform. Carsten Eilers am : 2014 - Das Jahr, in dem die Schwachstellen Namen bekamen

Vorschau anzeigen
2014 wird als das Jahr in die Geschichte eingehen, in dem die Schwachstellen Namen bekamen. Vorher gab es bereits Namen für Schadsoftware, aber für Schwachstellen haben die sich erst dieses Jahr wirklich durchgesetzt. Die Schwachstelle von

Dipl.-Inform. Carsten Eilers am : Drucksache: Entwickler Magazin 2.2015 - Stand das Internet 2014 in Flammen?

Vorschau anzeigen
Im Entwickler Magazin 2.15 ist ein Artikel über die "prominenten" Schwachstellen und Angriffe des Jahres 2014 erschienen. Also die, die mit Namen versehen wurden, was ja zuvor ziemlich selten passierte, 2014 aber fast üblich wurde. Au&

Dipl.-Inform. Carsten Eilers am : Neues eBook: "Websecurity - Jahresrückblick 2014"

Vorschau anzeigen
"Websecurity - Jahresrückblick 2014" ist als eBook bei entwickler.press erschienen. Im ersten Kapitel dreht sich alles um die Angriffe auf und Schwachstellne in SSL und TLS, im zweiten Kapitel geht es um die weiteren prominenten Angri