Neodkrita zlonamerna programska oprema pretvori Linux in BSD strežnike v neželene vsebine

[ware_item id=33][/ware_item]

mumblehard-botneti


Nova družina zlonamerne programske opreme, ki so jo varnostni raziskovalci poimenovali "Mumblehard", že več kot pet let uspešno okuži spletne strežnike, ki delujejo na Linuxu in BSD..

Kljub nalaganju v VirusTotal leta 2009 se je zlonamerna programska oprema v veliki meri odkrila, v zadnjih šestih mesecih pa se je podvojila, kar je povzročilo botnet, ki lahko izstreli ogromno količino neželene e-pošte.

Raziskovalci antivirusnega podjetja ESET so se Mumbleharda prvič zavedali, ko je sistemski skrbnik zaprosil za pomoč, potem ko je odkril, da je bil eden od njihovih strežnikov na črni seznam za pošiljanje neželene pošte.

Od takrat ESET nadzoruje botnet že več mesecev in je odkril njegov ukazni in nadzorni mehanizem ter 8.867 edinstvenih naslovov IP, povezanih z njim, od tega 3000 v zadnjih treh tednih.

Odkrili so tudi, da ima Mumblehard dve ključni komponenti - eno, ki je odgovorna za delovanje neželene pošte, in drugo, ki deluje kot zakritje. Ugotovljeno je bilo, da sta obe komponenti napisani s programom Perl in vsebujeta isto paketi po meri, napisani v sestavnem jeziku.

V poročilu na 23 straneh, ki ga je objavil ESET, so raziskovalci zapisali:

»Zlonamerna programska oprema, ki cilja na strežnike Linux in BSD, postaja vse bolj zapletena. Dejstvo, da so avtorji za skrivanje izvorne kode Perl uporabili paket po meri, je nekoliko prefinjeno. Vendar pa vsekakor ni tako zapletena kot operacija Windigo, ki smo jo dokumentirali leta 2014. Kljub temu je zaskrbljujoče, da so operaterji Mumblehard več let delovali brez motenj. "

Zdi se, da je nadaljnja preiskava Mumbleharda povezana z Yellsoft, podjetjem, ki prodaja DirectMailer, avtomatiziranim sistemom za distribucijo e-pošte, ki uporabniku omogoča anonimno pošiljanje sporočil..

DirectMailer, ki je prav tako napisan v Perlu in deluje v sistemih tipa UNIX, je na voljo za 240 dolarjev, vendar je zanimivo, da se razvijalci dejansko povezujejo na spletno mesto, ki ponuja zlomljeno kopijo programske opreme. Kot da to ni dovolj senčno, ugotavljajo tudi, da ne morejo zagotoviti nobene tehnične podpore piratskim različicam programske opreme.

Glej in glej, raziskovalci ESET so pozneje odkrili, da razpokana kopija programske opreme vsebuje zaledje Mumblehard, kar pomeni, da lahko uporabnik Boneta, ko je enkrat nameščen, pošlje vsiljeno pošto in proxy promet prek okužene naprave. Ali zlonamerna programska oprema vsebuje uradno različico DirectMailer-ja ali ne, ni znano.

Raziskovalci nadaljujejo z analizo, kako se Mumblehard namesti v sistem in trenutno verjamejo, da so lahko sistemi, ki niso piratska programska oprema DirectMailer, ogroženi tudi, če uporabljajo ranljivo različico sistemov za upravljanje vsebine Joomla ali WordPress..

Zato je nasvet ESET sistemskim administratorjem očiten - posodabljajte operacijske sisteme in aplikacije v celoti posodobljene z popravki in zagotovo uporabljajte varnostno programsko opremo, ki jo ponuja ugledni prodajalec.

Skrbniki se lahko pozanimajo tudi za nepojasnjena opravila cron, ki se izvajajo na strežnikih - Mumblehard jih uporablja natančno vsakih 15 minut, da domov pokliče svoje strežnike za upravljanje in nadzor..

Prav tako je zadnja vrata običajno najdena v mapah / tmp ali / var / tmp in jih je mogoče razveljaviti z namestitvijo teh imenikov z zastavo noexec.

Prikazana slika: Derek Quantrell / Public Domain Pictures.net

Neodkrita zlonamerna programska oprema pretvori Linux in BSD strežnike v neželene vsebine
admin Author
Sorry! The Author has not filled his profile.