Tunnistamaton haittaohjelma muuttaa Linux- ja BSD-palvelimet roskapostin bottiverkoiksi

[ware_item id=33][/ware_item]

mumblehard-botnet


Uusi haittaohjelmistoperhe, jota turvallisuustutkijat kutsuvat nimellä Mumblehard, on saanut tartunnan menestyksekkäästi Linuxissa ja BSD: ssä toimiviin verkkopalvelimiin yli viiden vuoden ajan.

Huolimatta siitä, että haittaohjelmat ladattiin VirusTotaliin vuonna 2009, haittaohjelmia ei ole suuresti havaittu, ja pelkästään viimeisen kuuden kuukauden aikana niiden koko on kaksinkertaistunut, mikä on johtanut robottiverkkoon, joka pystyy räjäyttämään valtavan määrän roskapostia..

ESET-virustorjuntayrityksen tutkijat saivat Mumblehardista tietoonsa ensin sen jälkeen, kun järjestelmänvalvoja pyysi apua, kun löydettiin yksi palvelimistaan ​​mustalle listalle roskapostin lähettämistä varten.

Siitä lähtien ESET on tarkkaillut bottiverkkoa useita kuukausia, löytänyt sen hallinta- ja valvontamekanismin sekä siihen liitetyt 8 867 ainutlaatuista IP-osoitetta, joista 3000 on lisätty pelkästään kolmen viimeisen viikon aikana.

He huomasivat myös, että Mumblehardilla on kaksi avainkomponenttia - toinen, joka vastaa roskapostitoiminnasta, ja toinen, joka toimii takaovena. Molempien komponenttien havaittiin kirjoitetun Perlin avulla ja ne sisältävät saman mukautetun pakkaajan, joka on kirjoitettu kokoonpanokielellä.

ESET: n 23-sivuisessa raportissa tutkijat kirjoittivat:

”Linux- ja BSD-palvelimille kohdistetut haittaohjelmat ovat yhä monimutkaisempia. Se, että kirjoittajat käyttivät mukautettua pakkaajaa Perl-lähdekoodin piilottamiseen, on hieman hienostunut. Se ei kuitenkaan todellakaan ole niin monimutkainen kuin vuonna 2014 dokumentoimamme Windigo-operaatio. Siitä huolimatta on huolestuttavaa, että Mumblehard-operaattorit ovat olleet aktiivisia monien vuosien ajan ilman häiriöitä. "

Mumblehardia koskevat lisätutkimukset näyttävät linkittävän sen Yellsoftiin, yritykseen, joka myy automaattista sähköpostinjakelujärjestelmää DirectMailer, jonka avulla käyttäjä voi lähettää viestejä nimettömästi.

DirectMailer, joka on kirjoitettu myös Perlissä ja toimii UNIX-tyyppisissä järjestelmissä, on saatavana hintaan 240 dollaria, vaikkakin on mielenkiintoista huomata, että kehittäjät linkittävät sivustoon, joka tarjoaa hakatun kopion ohjelmistosta. Koska tämä ei ole tarpeeksi varjoisa, he huomaavat myös, että he eivät pysty tarjoamaan teknistä tukea ohjelmiston laittomille versioille.

Katso, katso, ESET-tutkijat havaitsivat myöhemmin, että hakattu ohjelmiston kopio sisältää Mumblehard-takaoven, mikä tarkoittaa, että asennettuaan bottiverkon operaattori voi sitten lähettää roskapostin ja välityspalvelun liikenteen tartunnan saaneen laitteen kautta. Ei tiedetä, sisältääkö DirectMailerin virallinen versio haittaohjelman vai ei.

Tutkijat jatkavat analysointia, kuinka Mumblehard asentaa itsensä järjestelmään, ja uskovat tällä hetkellä, että piratisoidun DirectMailer-ohjelmiston lisäksi järjestelmät voivat myös olla vaarassa, jos ajaa Joomlan tai WordPressin sisällönhallintajärjestelmien haavoittuvaa versiota..

Siksi ESET: n neuvoja järjestelmänvalvojille on ilmeinen - pidä käyttöjärjestelmät ja sovellukset täysin päivitettyinä korjauksilla ja muista käyttää hyvämaineisen toimittajan tarjoamia tietoturvaohjelmistoja..

Järjestelmänvalvojat voivat myös etsiä selittämättömiä palvelimilla suoritettavia cron-töitä - Mumblehard käyttää niitä soittamaan kotiin komento- ja hallintapalvelimilleen tarkalleen 15 minuutin välein..

Myös takaovi löytyy tyypillisesti / tmp- tai / var / tmp-kansioista ja se voidaan tyhjentää asentamalla noxec-lipulla nämä hakemistot.

Esitelty kuva: Derek Quantrell / Public Domain Pictures.net

Tunnistamaton haittaohjelma muuttaa Linux- ja BSD-palvelimet roskapostin bottiverkoiksi
admin Author
Sorry! The Author has not filled his profile.