ShellShock爆发于2014年9月，而时至今日其余威仍在。本周安全研究人员发现了一个恶意活动通过大量存在Bash Shellshock（破壳）漏洞的主机展开攻击。

ShellShock漏洞回顾

ShellShock漏洞披露于2014年9月末，它通过把命令置于一个变量函数之前的方式允许攻击者执行Bash中的任意命令。这个shell用于互联网多种服务中，比如网络服务器，因此这个安全漏洞显得非常重要。‍‍非要相提并论的话，它的严重性并不亚于“心脏出血”漏洞。‍‍

尽管已提供补丁修复，而且媒体也进行了广泛报道，但Shellshock的修复方案并没有被所有的管理员采用，因此有些机器仍然易受攻击。2014年11月中旬，攻击者依然在扫描易受攻击的机器并成功攻陷。12月份，攻击者将目光聚集在ONAP NAS（网络附加存储）设备上，并且获得访问那些还未修复机器的访问权限。

罗马尼亚黑客？

‍‍Volexity安全研究人员表示，现在攻击者似乎又开始扫描这些漏洞了，而且扫描易受攻击网络设备的频率及范围在不断增加。这款恶意软件带有一个包括26,356个IP地址的脚本，并且是用一个叫做ELF的扫描库来扫描。‍‍

安全研究人员指出：

“基于文件内容，这个恶意软件似乎是一个名为mass.c的文件修改版本，它被一个罗马尼亚网站引用为sslvuln.c文件”。而二进制中一个名为“Nu Pot Deschide%,（意为“不要打开”）”的字符串佐证了罗马尼亚攻击者至少参与了修改恶意版本的猜测。

受害主机清单

一旦发现存在易受攻击的机器，攻击者就会将其攻陷并添加至扫描网络。而一份存在漏洞的主机清单及已被感染设备的名单很快就出炉了。

安全研究人员表示，恶意活动最可靠的表现是与IP地址109.228.25.87的外部通信。这个IP地址托管着一个TAR，并且拥有可找到并感染设备的必需脚本。

* 参考来源softpedia，codename2015翻译，转载请注明来自FreeBuf黑客与极客（FreeBuf.COM）