Keşfedilmemiş kötü amaçlı yazılımlar Linux ve BSD sunucularını spam yapan botnet’lere dönüştürüyor

mumblehard-Botnet'leri

Güvenlik araştırmacıları tarafından “Mumblehard” olarak adlandırılan yeni bir kötü amaçlı yazılım ailesi, beş yıldan fazla bir süredir Linux ve BSD üzerinde çalışan web sunucularına başarıyla bulaşıyor.

2009 yılında VirusTotal'a yüklenmesine rağmen, kötü amaçlı yazılım büyük ölçüde tespit edilmedi ve yalnızca son altı ay içinde boyutu iki katına çıktı ve büyük miktarda spam e-postayı patlatabilecek bir botnet'e yol açtı..

Antivirüs şirketi ESET'ten araştırmacılar, sistem yöneticilerinden birinin spam göndermek için kara listeye alındığını keşfettikten sonra yardım istediğinde Mumblehard'ı ilk kez fark ettiler.

O zamandan beri, ESET botnet'i birkaç ay boyunca izledi, komuta ve kontrol mekanizmasının yanı sıra kendisine bağlı olan 8,867 benzersiz IP adresini keşfetti ve bunların yalnızca son üç haftasında 3000'i eklendi.

Ayrıca Mumblehard'ın biri spam işleminden sorumlu diğeri de arka kapı görevi gören iki önemli bileşene sahip olduğunu keşfettiler. Her iki bileşenin de Perl kullanılarak yazıldığı ve montaj dilinde yazılmış aynı özel paketleyiciyi içerdiği bulundu.

ESET tarafından yayınlanan 23 sayfalık bir raporda araştırmacılar şunları yazdı:

“Linux ve BSD sunucularını hedef alan kötü amaçlı yazılım giderek daha karmaşık hale geliyor. Yazarların Perl kaynak kodunu gizlemek için özel bir paketleyici kullanması biraz karmaşıktır. Bununla birlikte, kesinlikle 2014'te belgelediğimiz Windigo Operasyonu kadar karmaşık değil. Bununla birlikte, Mumblehard operatörlerinin yıllardır kesintisiz olarak aktif olmalarından endişe ediyor. ”

Mumblehard ile ilgili daha fazla araştırma, kullanıcının anonim olarak mesaj göndermesine izin veren otomatik bir e-posta dağıtım sistemi olan DirectMailer satan bir şirket olan Yellsoft'a bağlandığı görülüyor..

Perl'de de yazılan ve UNIX tipi sistemlerde çalışan DirectMailer, 240 dolar karşılığında satılmaktadır, ancak geliştiricilerin yazılımın kırık bir kopyasını sunan bir siteye bağlandığını belirtmek ilginçtir. Bu yeterince gölgeli değilse, yazılımın korsan sürümleri için herhangi bir teknik destek sağlayamadıklarını da not ediyorlar..

ESET araştırmacıları, daha sonra yazılımın kırık kopyasının Mumblehard arka kapısını içerdiğini keşfetti, yani bir kez kurulduktan sonra botnet operatörünün etkilenen cihaz üzerinden spam ve proxy trafiği gönderebileceği. DirectMailer'in resmi sürümünün kötü amaçlı yazılımı içerip içermediği bilinmemektedir.

Araştırmacılar, Mumblehard'ın kendini bir sisteme nasıl yüklediğini analiz etmeye devam ediyor ve şu anda korsan DirectMailer yazılımının ötesinde, Joomla veya WordPress içerik yönetim sistemlerinin savunmasız bir sürümünü çalıştırıyorsa sistemlerin de risk altında olabileceğine inanıyorlar..

Bu nedenle, ESET’in sistem yöneticilerine tavsiyesi açıktır - işletim sistemlerini ve uygulamaları yamalarla tamamen güncel tutun ve saygın bir satıcı tarafından sağlanan güvenlik yazılımını çalıştırdığınızdan emin olun.

Yöneticiler ayrıca sunucularda açıklanamayan cron işlerini de arayabilir - Mumblehard bunları komutlarına aramak ve sunucuları tam olarak 15 dakikada bir kontrol etmek için kullanır.

Ayrıca, arka kapı genellikle / tmp veya / var / tmp klasörlerinde bulunur ve bu dizinleri noexec bayrağına monte ederek iptal edilebilir..

Öne Çıkan Resim: Derek Quantrell / Public Domain Pictures.net

Keşfedilmemiş kötü amaçlı yazılımlar Linux ve BSD sunucularını spam yapan botnet'lere dönüştürüyor
admin Author
Sorry! The Author has not filled his profile.