Neaptikta kenkėjiška programa paverčia „Linux“ ir BSD serverius šlamšto robotais

[ware_item id=33][/ware_item]

mumblehard-botnetai


Nauja kenkėjiškų programų šeima, kurią saugos tyrinėtojai pavadino „Mumblehard“, daugiau nei penkerius metus sėkmingai užkrėtė interneto serverius, veikiančius „Linux“ ir BSD..

Nepaisant to, kad 2009 m. Buvo įkelta į „VirusTotal“, kenkėjiška programinė įranga beveik nebuvo aptinkama ir vien per pastaruosius šešis mėnesius ji padidėjo dvigubai, todėl buvo sukurtas roboto tinklas, galintis išvalyti didžiulį kiekį šlamšto el..

Antivirusinės bendrovės ESET tyrėjai pirmą kartą sužinojo apie „Mumblehard“ po to, kai sistemos administratorius paprašė pagalbos, sužinojęs, kad vienas iš jų serverių buvo įtrauktas į juodąjį sąrašą šlamšto siuntimui..

Nuo to laiko ESET kelis mėnesius stebėjo robotų tinklą, atrado savo valdymo ir valdymo mechanizmą, taip pat prie jo prijungtus 8867 unikalius IP adresus, iš kurių 3000 buvo įtraukti tik per pastarąsias tris savaites.

Jie taip pat atrado, kad „Mumblehard“ turi du pagrindinius komponentus - vieną, atsakingą už šlamšto operacijas, o kitą, kuris veikia kaip užpakalinis duris. Buvo nustatyta, kad abu komponentai buvo parašyti naudojant „Perl“ ir juose yra tas pats pasirinktinis pakuotojas, parašytas surinkimo kalba.

ESET paskelbtoje 23 puslapių ataskaitoje tyrėjai rašė:

„Kenkėjiškos programos, nukreiptos į„ Linux “ir BSD serverius, tampa vis sudėtingesnės. Tai, kad autoriai paslėpė „Perl“ kodą, naudojo pasirinktinį pakuotę, yra šiek tiek sudėtinga. Tačiau ji tikrai nėra tokia sudėtinga kaip 2014 m. Dokumentuota „Windigo“ operacija. Vis dėlto nerimą kelia tai, kad „Mumblehard“ operatoriai daugelį metų veikė be trikdžių. “

Tolesnis „Mumblehard“ tyrimas, atrodo, susieja jį su „Yellsoft“ - įmone, parduodančia automatinę el. Pašto platinimo sistemą „DirectMailer“, leidžiančią vartotojui anonimiškai siųsti žinutes..

„DirectMailer“, kuris taip pat parašytas „Perl“ ir veikia UNIX tipo sistemose, yra už 240 USD, nors įdomu pastebėti, kad kūrėjai iš tikrųjų nurodo į svetainę, siūlančią nulaužtą programinės įrangos kopiją. Atrodo, kad tai nėra pakankamai šešėliai, tačiau jie taip pat pažymi, kad negali suteikti jokios techninės pagalbos piratinėms programinės įrangos versijoms..

Štai ir ESET tyrinėtojai vėliau sužinojo, kad nulaužtoje programinės įrangos kopijoje yra „Mumblehard“ užpakaliniai vartai, tai reiškia, kad įdiegęs roboto tinklo operatorius gali per šnipinėjimo įrenginį siųsti šlamšto ir tarpinių serverių srautus. Ar oficialiojoje „DirectMailer“ versijoje yra kenkėjiškų programų, nežinoma.

Tyrėjai tęsia analizę, kaip „Mumblehard“ įdiegia sistemą, ir šiuo metu mano, kad ne tik piratinėje „DirectMailer“ programinėje įrangoje, sistemoms taip pat gali iškilti pavojus, jei paleis pažeidžiamą „Joomla“ ar „WordPress“ turinio valdymo sistemų versiją..

Todėl ESET patarimai sistemų administratoriams yra akivaizdūs - nuolat atnaujinkite operacines sistemas ir programas su pataisomis ir būtinai paleiskite saugos programinę įrangą, kurią teikia patikimas pardavėjas..

Administratoriai taip pat gali atkreipti dėmesį į nepaaiškinamus „cron“ darbus, vykdomus serveriuose - Mumblehard juos naudoja, kad tiksliai kas 15 minučių surinktų namus į savo komandos ir valdymo serverius..

Be to, galinis durys paprastai yra aplankuose / tmp arba / var / tmp ir gali būti panaikintos pridedant tuos katalogus su „Noexec“ vėliava.

Teminis vaizdas: Derek Quantrell / Public Domain Pictures.net

Neaptikta kenkėjiška programa paverčia „Linux“ ir BSD serverius šlamšto robotais
admin Author
Sorry! The Author has not filled his profile.
Like this post? Please share to your friends:
Leave a Reply

;-) :| :x :twisted: :smile: :shock: :sad: :roll: :razz: :oops: :o :mrgreen: :lol: :idea: :grin: :evil: :cry: :cool: :arrow: :???: :?: :!:

− 4 = 1

map