Unentdeckte Malware verwandelt Linux- und BSD-Server in Spam-Botnets

[ware_item id=33][/ware_item]

mumblehard-botnets


Eine neue Familie von Malware, die von Sicherheitsforschern als "Mumblehard" bezeichnet wird, infiziert seit mehr als fünf Jahren erfolgreich Webserver, die unter Linux und BSD ausgeführt werden.

Trotz des Uploads auf VirusTotal im Jahr 2009 ist die Malware seitdem weitgehend unentdeckt geblieben und hat sich allein in den letzten sechs Monaten verdoppelt, was zu einem Botnet geführt hat, das in der Lage ist, eine große Menge an Spam-E-Mails zu versenden.

Forscher des Antiviren-Unternehmens ESET wurden auf Mumblehard aufmerksam, nachdem ein Systemadministrator um Hilfe gebeten hatte, nachdem festgestellt worden war, dass einer ihrer Server für das Versenden von Spam auf die schwarze Liste gesetzt worden war.

Seitdem hat ESET das Botnetz mehrere Monate lang überwacht und seinen Befehls- und Kontrollmechanismus sowie 8.867 damit verbundene eindeutige IP-Adressen entdeckt, von denen 3.000 allein in den letzten drei Wochen hinzugefügt wurden.

Sie entdeckten auch, dass Mumblehard zwei Schlüsselkomponenten besitzt - eine, die für den Spam-Betrieb verantwortlich ist, und eine andere, die als Hintertür fungiert. Es wurde festgestellt, dass beide Komponenten mit Perl geschrieben wurden und denselben benutzerdefinierten Packer in Assemblersprache enthalten.

In einem 23-seitigen Bericht von ESET schrieben die Forscher:

„Malware für Linux- und BSD-Server wird immer komplexer. Die Tatsache, dass die Autoren einen benutzerdefinierten Packer verwendet haben, um den Perl-Quellcode zu verbergen, ist etwas raffiniert. Es ist jedoch definitiv nicht so komplex wie der Windigo-Betrieb, den wir 2014 dokumentiert haben. Dennoch ist es besorgniserregend, dass die Mumblehard-Betreiber seit vielen Jahren ohne Unterbrechung aktiv sind. “

Weitere Untersuchungen zu Mumblehard scheinen mit Yellsoft, einem Unternehmen, das DirectMailer vertreibt, ein automatisiertes E-Mail-Verteilungssystem zu verknüpfen, mit dem Benutzer anonym Nachrichten senden können.

DirectMailer, das ebenfalls in Perl geschrieben ist und auf UNIX-Systemen ausgeführt wird, ist für 240 US-Dollar erhältlich. Interessant ist jedoch, dass die Entwickler tatsächlich auf eine Website verlinken, die eine geknackte Kopie der Software anbietet. Als ob dies nicht zwielichtig genug wäre, bemerken sie auch, dass sie keinen technischen Support für Raubkopien der Software leisten können.

Und siehe da, die ESET-Forscher stellten anschließend fest, dass die geknackte Kopie der Software die Mumblehard-Backdoor enthält. Nach der Installation kann der Betreiber des Botnets dann Spam- und Proxy-Datenverkehr über das infizierte Gerät senden. Ob die offizielle Version von DirectMailer die Malware enthält, ist nicht bekannt.

Die Forscher analysieren weiterhin, wie sich Mumblehard auf einem System installiert, und sind derzeit der Ansicht, dass neben der raubkopierten DirectMailer-Software auch Systeme gefährdet sein können, wenn eine anfällige Version der Inhaltsverwaltungssysteme Joomla oder WordPress ausgeführt wird.

Daher liegt der Rat von ESET für Systemadministratoren auf der Hand: Halten Sie Betriebssysteme und Anwendungen mit Patches auf dem neuesten Stand, und stellen Sie sicher, dass Sie die Sicherheitssoftware eines seriösen Herstellers verwenden.

Administratoren können auch nach ungeklärten Cron-Jobs suchen, die auf Servern ausgeführt werden. Mumblehard wählt damit genau alle 15 Minuten die Heimatadresse zu seinen Befehls- und Steuerungsservern.

Außerdem befindet sich die Hintertür normalerweise in den Ordnern / tmp oder / var / tmp und kann durch Mounten dieser Verzeichnisse mit dem noexec-Flag aufgehoben werden.

Ausgewähltes Bild: Derek Quantrell / Public Domain Pictures.net

Unentdeckte Malware verwandelt Linux- und BSD-Server in Spam-Botnets
admin Author
Sorry! The Author has not filled his profile.