Shellshock zielt auf SMTP-Server

Originalartikel von Trend Micro

Trend Mico hat einen neuen Shellshock-Angriff entdeckt, der SMTP-Server anvisiert. Die Cyberkriminellen nutzen E-Mail für den Transport des Exploits. Sobald dieser auf einem angreifbaren SMTP-Server erfolgreich ausgeführt wird, wird ein IRC Bot (JST Perl IrcBot) heruntergeladen und ausgeführt. Danach löscht es sich selbst, um unentdeckt zu bleiben.

Die Grafik zeigt den Angriffszyklus:

Bild 1. Ablauf des SMTP-Angriffs

  1. Der Angreifer erstellt eine E-Mail mit Shellshock-Code, der in die Felder Betreff, von, an und CC eingefügt ist.
  2. Der Angreifer schickt dann diese Mail an einen möglicherweise angreifbaren SMTP-Server.
  3. Erhält ein solcher SMTP-Server diese bösartige Mail, so wird der eingebettete Shellshock-Code ausgeführt und ein IRC-Bot heruntergeladen und ebenfalls ausgeführt. Auch baut sich eine Verbindung zu dem IRC-Server auf.
  4. Angreifer können dann verschiedene Routinen mit dem Mail-Server ausführen, so etwa eine Spam-Kampagne starten.

Möglicherweise angreifbare Mail-Server

Es gibt einige Mail-Server, die möglicherweise angreifbar sind:

  1. qmail Message Transfer Agent (MTA): qmail ist eine Unix-basierte Konfigurationsdatei, die die Auslieferung von Mailnachrichten kontrolliert und für den Aufruf von Bash Shell-Befehlen für die Ausführung verantwortlich ist. Die Datei kann so aufgesetzt sein, dass sie ein Programm startet, und wenn es Bash aufruft, ist der Angriff erfolgreich gewesen.
  2. exim MTA mit früheren Versionen als 4: Wird die Version 4 von exim gestartet, so ruft der pipe_transport nicht eine Shell auf für die variable Erweiterung und das Zusammensetzen der Befehlszeile.
  3. Postfix mit procmail: Der Postfix MTA ruft procmail auf, einen Mail Delivery Agent (MDA). Dieser dient dem Sortieren und Filtern ankommender Mail. Postfix hat keine offensichtliche Shellshock-Sicherheitslücke. Doch kann procmail selbst eine Umgebungsvariable nutzen, um Nachrichten-Header an nachfolgende Liefer/Filterprogramme weiterzugeben, und das führt zur Sicherheitslücke in Shellshock-Angriffen.
    Achtung: Debian/Ubuntu Postfix setzt procmail in seine mailbox_command-Konfiguration in main.cf. Damit ist die Distribution von Shelshock angreifbar.

Analyse des Angriffs

Die vom Angreifer erstellte bösartige Mail verbindet sich mit den folgenden URLs und lädt IRC Bots herunter, wenn das bösartige Skript in der Mail auf einem angreifbaren SMTP-Server erfolgreich ausgeführt wird:

    • hxxp://{BLOCKED}.{BLOCKED}.31.165/ex.txt
    • hxxp://{BLOCKED}.{BLOCKED}.251.41/legend.txt
    • hxxp://{BLOCKED}.{BLOCKED}.175.145/ex.sh

Die Dateien ex.txt und ex.sh sind dasselbe, haben nur unterschiedliche Namen.

Bild 2. Von JST Perl IrcBot heruntergeladener Source Code

JST Perl IrcBot verbindet sich mit einem Command-and-Control (C&C) IRC-Server über Port 666, 3232 und 9999. Das Bot führt die folgenden Routinen aus, um die Sicherheit des betroffenen Systems zu kompromittieren:

    • Download von URLs
    • Senden von Mail
    • Scannen von Ports
    • Ausführen von Distributed Denial-of-Service (DDoS)-Angriffen
    • Ausführen von Unix-Befehlen

Diese Art von Angriffen gab es in folgenden Ländern:

Bild 3. Länder, in denen die Site aufgerufen wurde, die die Malware hostet

Das IRC Bot verbindet sich sich mit folgenden IRC-Servern, um vom Master Bot oder dem Angreifer Befehle zu empfangen:

    • 62[.]193[.]210[.]216
    • d[.]hpb[.]bg

Trend Micro hat mindestens 44 Varianten von IRC Perl Bots entdeckt. Die dazu gehörigen Hashes:

    • SHA1: 23b042299a2902ddf830dfc03920b172a74d3956 (PERL_SHELLBOT.SMA)
    • SHA1: 8906df7f549b21e2d71a46b5eccdfb876ada835b (PERL_SHELLBOT.SM)

Fazit

Dieser SMTP-Angriff führt eine weitere Plattform vor, die von den Angreifern für Shellshock-Attacken genutzt werden kann. Administratoren sollten alle mit diesem Angriff in Zusammenhang stehenden IPs und Domänen blocken, auch wenn die Zahl der Opferländer derzeit noch limitiert ist. Weitere Einzelheiten gibt es unter Summary of Shellshock-Related Stories and Materials.

 

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

*