Como detectar o Bash ShellShock com o RSA Security Analytics?


Por Luiz Henrique Borges*
O que é o Bash ShellShock? 
O Bash ShellShock é uma grave vulnerabilidade encontrada no Bash, principal interpretador de comandos dos sistemas operacionais do tipo Unix-like. A vulnerabilidade explora a forma como o Bash processa as variáveis de ambiente, permitindo que códigos maliciosos sejam executados remotamente.

Como verificar se estou vulnerável? 
Execute o comando: curl https://shellshocker.net/shellshock_test.sh | bash












O sistema operacional estará vulnerável caso a palavra VULNERABLE seja impressa na tela.

Uma vez detectado, como posso corrigir o problema? 
Para a completa remediação desta vulnerabilidade, atualize o sistema comprometido com a versão segura do Bash.

Premissas
Primeiramente, é importante ressaltar que existem diversos vetores de ataques em que esta vulnerabilidade pode ser explorada. O intuito é apresentar a capacidade de identificar atividades maliciosas através do canal mais popular e acessível para todas as redes, o tráfego web. À medida que novas formas de lidar com vetores específicos forem sendo descobertas, vamos publicá-las.

Implantando o Parser para detectar instâncias do Bash ShellShock com o RSA Security Analytics 

Faça download do arquivo ShellShock-public.parser vinculado ao post.
Abra o menu Config do Decoder e selecione a aba Parsers.








Clique em Upload, selecione o arquivo ShellShock-public.parser e proceda com o envio. 









Volte para a aba General e verifique se em Parsers Configuration existe ShellShock_Web_Shell.









Detectando 

Depois de implantado, é possível detectar as tentativas de exploração olhando para as informações contendo “shellshock” no meta campo risk.warning.









Ao aprofundar a análise investigando o tráfego bruto, verificamos o código malicioso enviado através da requisição.









* Luiz Henrique Borges é consultor forense na TechBiz Forense Digital. Especialista na solução RSA Security Analytics, possui as seguintes certificações: RSA Certified SE Professional in Security Analytics, CompTIA Security+, RHCE, RHCSA, LPIC-1, NCLA e NDTS.

Comentários