En sikkerhedsefterforsker mener, at han har afsløret et botnet, som er ved at blive bygget op af Rumænske hackere, som udnytter det såkaldte ”Shellshock” sikkerhedshul. Det skriver Ars Technica.
Rumænerne udnytter ”Shellshock” mod kendte sider som Yahoo og WinZip, hvis servere de udnytter i opbyggelsen af deres netværk.
Jonathan Hall, præsident og senioringeniør hos teknologikonsulentfirmaet, Future South Technologies har beskrevet, hvordan han har fundet frem til botnettet, og at han har kommunikeret med Yahoo, som har erkendt, at de har fundet spor af botnettet i to af deres servere.
Hall fandt botnettet ved at spore kilden fra den anmodning, som undersøgte hans servere for sårbare CGI-serverscripts, som kan udnyttes via Shellstock-svagheden.
Hall sporede kilden tilbage til Winzip.com-server, hvor han brugte sin egen exploit af buggen til at undersøge de processer, der kørte på Winzip-serveren, hvor han identificerede en Perl.script, som hed ha.pl.
Ved at kigge nærmere på scriptet fandt han ud af, at der var tale om en Internet-Ralay-Chat-bot (IRC) lig dem, der bruges til DDOS-angreb, ved nærmere undersøgelser viste det sig, at chatten reporterede tilbage til en anden IRC-kanal, hvor koden blev kommenteret voldsomt på rumænsk.
Hall siger, at han har notificeret både FBI og Winzip.
Leave a Reply