Неоткритият зловреден софтуер превръща Linux и BSD сървърите в спам ботнети

mumblehard-ботнет

Нова фамилия зловреден софтуер, наречен „Mumblehard“ от изследователи по сигурността, успешно заразява уеб сървърите, работещи на Linux и BSD, повече от пет години.

Въпреки че е качен на VirusTotal през 2009 г., злонамереният софтуер до голяма степен е неоткрит и през последните шест месеца се е удвоил по размер, което води до ботнет, способен да взриви огромно количество спам имейл.

Изследователи от антивирусна компания ESET първо станаха наясно с Mumblehard, след като системен администратор поиска помощ, след като откри, че един от сървърите им е бил в черен списък за изпращане на спам.

Оттогава ESET следи ботнета в продължение на няколко месеца, откривайки неговия механизъм за управление и управление, както и 8 867 уникални IP адреса, свързани с него, 3000 от които са добавени само през последните три седмици.

Те също така откриха, че Mumblehard притежава два ключови компонента - един, който е отговорен за спам операцията, и друг, който действа като бекдорд. Установено е, че и двата компонента са написани с помощта на Perl и съдържат един и същ персонализиран пакетор, написан на асемблерен език.

В доклад на 23 страници, издаден от ESET, изследователите написаха:

„Зловредният софтуер, насочен към Linux и BSD сървърите, става все по-сложен. Фактът, че авторите са използвали персонализиран пакет, за да скрият изходния код на Perl, е донякъде сложен. Определено обаче не е толкова сложна като операцията Windigo, която документирахме през 2014 г. Въпреки това е притеснително, че операторите на Mumblehard действат много години без прекъсвания. “

По-нататъшното разследване на Mumblehard изглежда го свързва с Yellsoft, компания, която продава DirectMailer, автоматизирана система за разпространение на имейли, която позволява на потребителя да изпраща съобщения анонимно.

DirectMailer, който също е написан на Perl и работи на системи от тип UNIX, се предлага за 240 долара, макар че е интересно да се отбележи, че разработчиците всъщност връзват към сайт, предлагащ напукано копие на софтуера. Сякаш това не е достатъчно сенчесто, те също така отбелязват, че не са в състояние да осигурят техническа поддръжка за пиратски версии на софтуера.

Ето и изследователите на ESET впоследствие откриха, че напуканото копие на софтуера съдържа задната врата на Mumblehard, което означава, че след като бъде инсталиран, след това операторът на ботнет може да изпраща спам и прокси трафик през заразеното устройство. Дали официалната версия на DirectMailer съдържа злонамерен софтуер не се знае.

Изследователите продължават да анализират как Mumblehard се инсталира в система и понастоящем вярват, че извън пиратския софтуер DirectMailer, системите могат също да бъдат изложени на риск, ако работят с уязвима версия на системите за управление на съдържанието Joomla или WordPress..

Следователно, съветът на ESET към системните администратори е очевиден - поддържайте операционните системи и приложения напълно актуализирани с пачове и не забравяйте да стартирате софтуер за сигурност, предоставен от реномиран доставчик.

Администраторите могат също така да внимават за необясними задания на cron, работещи на сървъри - Mumblehard ги използва, за да набира дома до своите сървъри за управление и управление точно на всеки 15 минути.

Също така, задната част обикновено се намира в папките / tmp или / var / tmp и може да бъде обезсилена чрез монтиране на тези директории със знамето на noexec.

Препоръчано изображение: Дерек Квантрел / Public Domain Pictures.net

Неоткритият зловреден софтуер превръща Linux и BSD сървърите в спам ботнети
admin Author
Sorry! The Author has not filled his profile.