Neatklāta ļaunprogrammatūra pārvērš Linux un BSD serverus par surogātpastu robottīkliem

drūmi roboti tīkli

Jauna ļaundabīgo programmu saime, kuru drošības pētnieki nodēvējuši par “Mumblehard”, jau vairāk nekā piecus gadus veiksmīgi inficē tīmekļa serverus, kas darbojas ar Linux un BSD..

Neskatoties uz to, ka 2009. gadā tā tika augšupielādēta VirusTotal, ļaunprātīgā programmatūra kopš tā laika nav tikusi atklāta, un tikai pēdējos sešos mēnešos tās apjoms ir dubultojies, kā rezultātā ir izveidots robottīkls, kas spēj iznīcināt milzīgu daudzumu surogātpastu..

Antivīrusu uzņēmuma ESET pētnieki pirmo reizi uzzināja par Mumblehardu pēc tam, kad sistēmas administrators lūdza palīdzību pēc tam, kad kāds no viņu serveriem tika iekļauts melnajā sarakstā surogātpastu nosūtīšanai..

Kopš tā laika ESET vairākus mēnešus ir novērojis robottīklu, atklājot tā vadības un kontroles mehānismu, kā arī tam pieslēgtas 8867 unikālas IP adreses, no kurām 3000 ir pievienotas tikai pēdējo trīs nedēļu laikā.

Viņi arī atklāja, ka Mumblehardam ir divas galvenās sastāvdaļas – viena, kas ir atbildīga par surogātpastu darbību, un otra, kas darbojas kā aizmugures durvis. Tika konstatēts, ka abas sastāvdaļas ir rakstītas, izmantojot Perl, un tajās ir tas pats pielāgotais iepakotājs, kas rakstīts montāžas valodā.

ESET izdotajā 23 lappušu ziņojumā pētnieki rakstīja:

“Ļaunprātīga programmatūra, kas paredzēta Linux un BSD serveriem, kļūst arvien sarežģītāka. Fakts, ka autori izmantoja pielāgotu fasētāju, lai slēptu Perl pirmkodu, ir nedaudz sarežģīts. Tomēr tas noteikti nav tik sarežģīts kā operācija Windigo, kuru mēs dokumentējām 2014. gadā. Neskatoties uz to, ir satraucoši, ka Mumblehard operatori daudzus gadus darbojas bez traucējumiem. ”

Turpmāka Mumblehard izmeklēšana, šķiet, to saista ar Yellsoft – uzņēmumu, kas pārdod DirectMailer – automatizētu e-pasta izplatīšanas sistēmu, kas ļauj lietotājam anonīmi sūtīt ziņojumus..

DirectMailer, kas ir arī rakstīts Perl valodā un darbojas UNIX tipa sistēmās, ir pieejams par 240 USD, lai gan ir interesanti atzīmēt, ka izstrādātāji faktiski izveido saiti uz vietni, kas piedāvā uzlauztu programmatūras kopiju. It kā tas nav pietiekami ēnas, bet viņi arī atzīmē, ka nespēj sniegt tehnisku atbalstu programmatūras pirātiskām versijām.

Lūk, lūk, ESET pētnieki pēc tam atklāja, ka uzlauztajā programmatūras eksemplārā ir Mumblehard aizmugure, kas nozīmē, ka pēc instalēšanas robottīklu operators var caur inficēto ierīci nosūtīt surogātpastu un starpniekservera trafiku. Nav zināms, vai oficiālajā DirectMailer versijā ir ļaunprogrammatūra.

Pētnieki turpina analizēt, kā Mumblehards sevi instalē sistēmā, un šobrīd uzskata, ka papildus pirātiskajai DirectMailer programmatūrai sistēmas var būt arī pakļautas riskam, ja darbojas neaizsargāta Joomla vai WordPress satura pārvaldības sistēmu versija..

Tāpēc ESET padoms sistēmu administratoriem ir acīmredzams – pilnībā atjauniniet operētājsistēmas un lietojumprogrammas ar ielāpiem un noteikti palaidiet drošības programmatūru, ko nodrošina cienījams pārdevējs..

Administratori var arī piesargāties no neizskaidrojamiem cron darbiem, kas darbojas serveros – Mumblehard tos izmanto, lai precīzi ik pēc 15 minūtēm izsauktu mājas uz komandu un vadības serveriem..

Arī aizmugure ir parasti atrodama mapē / tmp vai / var / tmp un to var anulēt, pievienojot šos direktorijus ar karodziņu noexec.

Piedāvātais attēls: Derek Quantrell / Public Domain Pictures.net