ShellShock - Die Angriffe
In diesem Text finden Sie alle Informationen über die Angriffe auf/über die ShellShock-Schwachstelle im Überblick.
tl;dr: Eine Schwachstelle in der Unix-Shell Bash erlaubt Angreifern das Ausführen beliebiger Befehle über das Internet. Und das wird weidlich ausgenutzt. "Nebenan" gibt es eine kompakte Zusammenfassung der wichtigsten Informationen.
25. September - Die ersten Angriffe finden statt
Am 25. September wurden die ersten Angriffe über die ShellShock-Schwachstelle gemeldet:
- Von Yinette (@yinettesys) wurde schon am Abend des 24.9.
auf GitHub
ein "in the wild" beobachteter Angriff
veröffentlicht.
Die dabei eingeschleuste
Backdoor
wurde am 25.9. auf VirusTotal
von keinem Virenscanner erkannt
(und selbst am 29. September erkennen erst
30 von 54 Scannern
den Schädling, wobei man Windows-Scannern nicht wirklich vorwerfen
darf, dass sie Linux-Schädlinge nicht erkennen).
In den Kommentaren auf GitHub wurden daraufhin weitere Angriffe gemeldet. - Das australische AusCERT kommentiert das Security Advisory von Debian Linux zur Bash-Schwachstelle mit den Worten "AusCERT has received reports that this vulnerability is currently being exploited in the wild. Administrators should patch vulnerable systems as soon as possible."
- Trend Micro meldet ebenfalls Angriffe über die Schwachstelle, dort heißt der darüber eingeschleuste Schädling (der mit dem von Yinette entdeckten identisch ist) ELF_BASHLITE.A. Es handelt sich dabei um eine klassische Hintertür, über die verschiedene Befehle ausgeführt, Brute-Force-Angriffe auf Logins durchgeführt und Daten ausgespäht werden können.
- Michael Bulat hat auf GitHub Code für einen Angriff veröffentlicht, der ein Perl-Skript einschleust. Dabei handelt es sich um eine bekannte Botnet-Backdoor namens ShellBot.
- AlienVault hat seine Honeypots sofort nach Bekanntwerden an die Erkennung der Schwachstelle angepasst und innerhalb der ersten 24 Stunden neben etlichen reinen Scans zwei reale Angriffe beobachtet. Einmal wird die bereits bekannte Linux-Backdoor installiert, einmal der Perl-Bot. Der Bot verbindet sich mit einem IRC-Server, mit dem zum Zeitpunkt der ersten Prüfung durch AlienVault 715 Benutzer verbunden waren, es gab also vermutlich bereits 715 Opfer des Bots. Nachdem der Honeypot Verbindung mit dem Server aufgenommen hat sind noch mindestens 20 weitere hinzu gekommen.
- Sucuri hat viele verschiedene Angriffe registriert, unter anderen Versuche zum Öffnen einer Shell und zum Einschleusen von Schadsoftware.
26. September - Die Angriffe nehmen zu
Die Angriffe nehmen weiter zu: Ein wopbot genanntes Botnet scannt das Internet nach angreifbaren Systemen, einschließlich denen des US-Verteidigungsministeriums (United States Department of Defence), um sich dann über die ShellShock-Schwachstelle zu verbreiten. Bisher wurde das Botnet bereits für DDoS-Angriffe auf Akamai eingesetzt.
Auch Trend Micro hat Neues zu den Angriffen über die Schwachstelle zu berichten:
- Man konnte zwei der Command&Control-Server für die darüber eingeschleusten Hintertür ELF_BASHLITE untersuchen. Demnach werden die darüber aufgebauten Botnets für DDoS-Angriffe genutzt.
- Neue Angriffe wurden in Brasilien beobachtet, dort haben die Angreifer es auf "official institutions" abgesehen, es wird aber kein Code eingeschleust, sondern nur Informationen über die Systeme gesammelt.
27. September - Und noch mehr Angriffe
FireEye hat eine Übersicht über die verschiedenen Angriffe "in the wild" veröffentlicht. Bisher wurden beobachtet:
- Klickbetrug - Über die Schwachstelle wird ein Aufruf an eine Webseite ausgelöst, die dort als Klick eines Benutzers gewertet wird.
- Reverse-Shell - Es wird eine neue Bash-Shell gestartet und an einen Netzwerk-Socket gebunden, so dass der Angreifer darauf zugreifen und den Rechner kontrollieren kann.
- Kopieren von
/etc/passwd
- Über die Bash wird die "Passwortdatei" (die inzwischen zwar keine Passwörter mehr enthält, aber immerhin noch die Benutzernamen) an den Angreifer geschickt. - E-Mail-basierte Tests - Es werden Befehle eingeschleust, die eine E-Mail an den Angreifer schicken, wenn der Angriff erfolgreich ist. Danach dürften dann weitere Angriffe auf die so als angreifbar erkannten Server erfolgen.
- Einschleusen eines Perl-Skripts mit einer Reverse-Shell (genannt Bashattack), über die die Angreifer dann auf den Server zu greifen können.
- Installation eines IRC-basierten DDoS-Clients, der auch als Backdoor funktioniert (genannt Tsunami/Kaiten)
- Einschleusen eines PHP-Skripts, dass UDP-Pakete an einen Server senden kann und daher wohl für DoS-Angriffe mittels UDP-Flooding genutzt werden soll.
- Installation von Perl.Shellbot, einem weiteren IRC-basierten DDoS-Client mit Backdoor-Funktionen. Dabei wird zuerst wie oben beschrieben eine Reverse-Shell geöffnet und darüber dann Python-Code eingeschleust, der wiederum das Perl-Skript installiert - entweder wollte da jemand zeigen, wie viele Computersprachen er spricht, oder der Angriff wurde aus verschiedenen Quellen zusammen gesetzt.
- Installation einer weiteren Perl.Shellbot-Variante
- Installation einer Reverse-Shell als ELF-Executable - wenn man weder die Bash selbst noch eine Perl-Shell nutzen möchte kann man ja auch selbst ein ausführbares Programm einschleusen.
29. September - Jede Menge Angriffe
Am Sonntag, dem 28. September gab es sicher Angriffe, aber nur über einen wurde berichtet: Trend Micro meldet einen neuen Angriff in China: Bei einer "financial institution" wurden Systeminformationen ausgespäht.
Am 29. September hat Incapsulat Statistiken über die von seinen Web Application Firewalls abgewehrten Angriffe veröffentlicht. Insgesamt wurden bis zum 29. September mehr als 217.089 Exploit-Versuche an mehr als 4.115 Domains gezählt. Die teilen sich folgendermaßen auf:
- 68,27% sind Scan-Versuche, es wird also "nur" nach angreifbaren Servern gesucht.
- 18,37% sind Versuche, eine Shell zu öffnen oder einzuschleusen, die Angreifer wollen also direkt auf den Server zugreifen.
- 16,64% sind Versuche, einen DDoS-Schädling einzuschleusen und damit den Server zum Teil eines Botnets zu machen.
- 0,7% sind Versuche, den Server mit einem IRC-Bot zu infizieren und damit ebenfalls zum Teil eines Botnets zu machen.
- 0,02% sind Versuche, den Server zum Senden eines Requests an einen anderen Server zu bringen.
Nachtrag 2.10.2014:
1. Oktober - Angriffe auf NAS
FireEye hat Angriffe auf NAS-Systeme beobachtet. Bisher überwiegend in Japan und Korea sowie einen vereinzelten Angriff in den USA, aber das hat ja nicht viel zu bedeuten. Übers Internet ist jedes NAS nur ein Paar Klicks vom Angreifer entfernt.
Bisher konzentrieren sich die Angriffe auf Qnap-Systeme, auf denen der
bereits veröffentlichte
Patch nicht installiert ist. Die Angreifer verschaffen sich Zugriff auf
das NAS und fügen ihren SSH-Schlüssel zu den
vertrauenswürdigen Schlüsseln in der Datei
authorized_keys
hinzu und installieren eine Hintertür.
Dadurch können sie danach jederzeit auf das NAS zugreifen. Der
Angriff wird in FireEyes
Bericht
ausführlich beschrieben.
Nachtrag 6.10.2014:
5. Oktober - Download von KAITEN-Sourcecode
Trend Micro berichtet über eine weitere Angriffsmethode: Die Angreifer laden den Sourcecode der DoS-Software KAITEN herunter und kompilieren sie auf dem angegriffenen System. Damit gehen sie möglichen Kompatibilitätsproblemen aus dem Weg, da der neu kompilierte Schädling genau zum System passt. Außerdem entgeht der Sourcecode während des Downloads sicher eher einer Entdeckung als ein fertig kompiliertes Programm. Besonders interessant ist auch, dass der Schädling sowohl für Linux als auch für Mac OS X bereit steht. Apple meint zwar, dass nur die wenigsten Mac-OS-X-Rechner angreifbar sind (und ich neige dazu, Apple dabei recht zu geben), aber die Cyberkriminellen scheinen zumindest so viele potentielle Opfer zu sehen, dass sie sich bereit machen, sie an zu greifen.
Nachtrag 8.10.2014:
7. Oktober - Verschiedene prominente Webserver kompromittiert
Jonathan Hall hat herausgefunden, dass verschiedene prominente Webserver über die ShellShock-Schwachstelle kompromittiert wurden. Er hat erst mit einem selbst entwickelten Tool nach über ShellShock angreifbaren Servern gesucht und diese dann nach Spuren einer Kompromittierung durchsucht. Sehr oft hat er Spuren eines "perl-based IRC DDoS bots" gefunden. Einige dieser Bots haben auch die Fähigkeit, sich selbst zu verbreiten.
Unter den Opfern sind Server von Yahoo!, Lycos und WinZip. Während WinZip den Angriff bestätigt hat, hat Lycos ihn abgestritten
Yahoo hat zwar einen Angriff zugegeben, dafür aber eine andere Schwachstelle verantwortlich gemacht. Der Angreifer hätte zwar versucht, die ShellShock-Schwachstelle auszunutzen, die war aber bereits gepatcht. Der verwendete Exploit funktionierte aber zufällig auch für einen "command injection bug in a monitoring script our Sports team was using at that moment to parse and debug their web logs", so dass die eingeschleusten Befehle trotz gepatchter ShellShock-Schwachstelle ausgeführt wurden.
Jonathan Hall hält diese Erklärung für falsch, da der eigentlich Angriff auf einen anderen Yahoo!-Server erfolgt sei, von dem aus dann auf die laut Yahoo! angegriffenen Server zugegriffen wurde. Er hat das später noch weiter ausgeführt.
Seine ungefragte Suche nach angreifbaren Server sowie den Zugriff darauf kann man durchaus selbst als Angriff sehen. Was ihm auch einen Besuch des FBIs eingebracht hat. Aber er ist der Meinung, richtig gehandelt zu haben.
Nachtrag 9.10.2014:
7. Oktober - Botnet "Mayhem" für Teil der Angriffe verantwortlich
Yinette (s.o.) hat einen weiteren Angriff entdeckt: Das Botnet "Mayhem" nutzt die ShellShock-Schwachstelle, um erst ein Perl-Skript und dann darüber eine Backdoor als ELF-Binary einzuschleusen.
Nachtrag 28.10.2014:
24. Oktober - Angriffe über SMTP
Das Internet Storm Center und Binary Defense Systems melden Versuche, die Schwachstelle via SMTP auszunutzen. Der Exploit wird dabei über verschiedene Mailheader eingeschleust. Die Payload ist mal wieder ein IRC-Perl-Bot, in sofern also nichts Neues. Und das Angriffe über SMTP möglich sind ist ja auch schon länger bekannt. Nur wurden sie bisher nicht im größeren Maßstab "in the wild" gesichtet.
Übersicht über alle Artikel zum Thema
- Alles, was Sie über ShellShock wissen müssen
- ShellShock - Die Schwachstellen und Angriffsvektoren
- ShellShock - Die Angriffe
- ShellShock - Chronologie und Details: Tag 1 - Der 24. September 2014
- ShellShock - Chronologie und Details: Tag 2 - Der 25. September 2014
- ShellShock - Chronologie und Details: Tag 3 - Der 26. September 2014
- ShellShock - Chronologie und Details: Tag 4 - Der 27. September 2014
- ShellShock - Chronologie und Details: Tag 6 - Der 29. September 2014
- ShellShock - Chronologie und Details: Tag 8 - Der 1. Oktober 2014
Trackbacks
Dipl.-Inform. Carsten Eilers am : Links, jede Menge Links. Und ganz wenig Kommentare.
Vorschau anzeigen
Dipl.-Inform. Carsten Eilers am : 2014 - Das Jahr, in dem die Schwachstellen Namen bekamen
Vorschau anzeigen
Dipl.-Inform. Carsten Eilers am : Drucksache: Entwickler Magazin 2.2015 - Stand das Internet 2014 in Flammen?
Vorschau anzeigen
Dipl.-Inform. Carsten Eilers am : Neues eBook: "Websecurity - Jahresrückblick 2014"
Vorschau anzeigen