Uoppdaget skadelig programvare gjør Linux- og BSD-servere om til spamming-botnett

[ware_item id=33][/ware_item]

mumblehard-botnett


En ny familie av malware, kalt "Mumblehard" av sikkerhetsforskere, har smittet webservere som kjører på Linux og BSD, i mer enn fem år..

Til tross for at den ble lastet opp til VirusTotal i 2009, har skadelig programvare stort sett ikke blitt oppdaget siden, og bare i løpet av de siste seks månedene har den doblet seg i størrelse, noe som førte til et botnet som kan sprite en enorm mengde spam-e-post.

Forskere fra antivirusfirmaet ESET ble først kjent med Mumblehard etter at en systemadministrator ba om hjelp etter å ha oppdaget at en av serverne deres hadde blitt svartelistet for å sende spam.

Siden den gang har ESET overvåket botnet i flere måneder, og oppdaget kommando- og kontrollmekanismen i tillegg til 8 867 unike IP-adresser koblet til det, hvorav 3000 ble lagt til i løpet av de tre siste ukene alene.

De oppdaget også at Mumblehard har to viktige komponenter - en som er ansvarlig for spam-operasjonen, og en annen som fungerer som en bakdør. Begge komponentene viste seg å ha blitt skrevet ved hjelp av Perl og inneholder den samme tilpassede pakker skrevet på samlingsspråk.

I en 23-siders rapport utgitt av ESET, skrev forskerne:

“Malware rettet mot Linux- og BSD-servere blir mer og mer kompleks. At forfatterne brukte en tilpasset pakker for å skjule Perl-kildekoden, er noe sofistikert. Imidlertid er det definitivt ikke så sammensatt som Windigo-operasjonen vi dokumenterte i 2014. Det er likevel bekymringsfullt at Mumblehard-operatørene har vært aktive i mange år uten forstyrrelse. ”

Videre utredning av Mumblehard ser ut til å knytte den til Yellsoft, et selskap som selger DirectMailer, et automatisert e-postdistribusjonssystem som lar brukeren sende meldinger anonymt.

DirectMailer, som også er skrevet i Perl og kjører på systemer av UNIX-type, er tilgjengelig for $ 240, selv om det er interessant å merke seg at utviklerne faktisk lenker til et nettsted som tilbyr en sprukket kopi av programvaren. Som om dette ikke er skyggefullt nok, bemerker de også at de ikke kan tilby teknisk støtte for piratkopierte versjoner av programvaren.

Se, ESET-forskerne oppdaget senere at den spreke kopien av programvaren inneholder Mumblehard bakdør, noe som betyr at når den først er installert, kan operatøren av botnet sende spam og proxy-trafikk gjennom den infiserte enheten. Hvorvidt den offisielle versjonen av DirectMailer inneholder skadelig programvare er ikke kjent.

Forskerne fortsetter å analysere hvordan Mumblehard installerer seg på et system og tror for tiden at utover den piratkopierte DirectMailer-programvaren, kan systemer også være i fare hvis de kjører en sårbar versjon av Joomla eller WordPress innholdsstyringssystemer..

Derfor er ESETs råd til systemadministratorer åpenbare - hold operativsystemer og applikasjoner fullt oppdatert med oppdateringer, og sørg for å kjøre sikkerhetsprogramvare levert av en anerkjent leverandør..

Administratorer kan også se etter uforklarlige cron-jobber som kjøres på servere - Mumblehard bruker dem til å ringe hjem til kommando- og kontrollservere nøyaktig hvert 15. minutt.

Bakdøren finnes også vanligvis i mappene / tmp eller / var / tmp, og kan bli ugyldig ved å montere disse katalogene med noexec-flagget..

Utvalgt bilde: Derek Quantrell / Public Domain Pictures.net

Uoppdaget skadelig programvare gjør Linux- og BSD-servere om til spamming-botnett
admin Author
Sorry! The Author has not filled his profile.