תוכנות זדוניות שלא נחשפו הופכות שרתי לינוקס ו- BSD לנתיבי דואר זבל

ממלמל-בוטנות

משפחה חדשה של תוכנות זדוניות, המכונה "מומלארד" על ידי חוקרי אבטחה, מדביקה בהצלחה שרתי אינטרנט הפועלים על לינוקס ו- BSD כבר יותר מחמש שנים..

למרות העלאה ל- VirusTotal בשנת 2009, התוכנה הזדונית לא התגלתה במידה רבה מאז ובששת החודשים האחרונים בלבד הכפילה את גודלה, מה שהוביל לבוטנט שמסוגל לפוצץ כמות אדירה של דואר זבל..

חוקרים מחברת האנטי-וירוס ESET התוודעו לראשונה למומבלארד לאחר שמנהל מערכות ביקש עזרה לאחר שגילה כי אחד השרתים שלהם הוגדר לרשימה השחורה לשליחת דואר זבל..

מאז, ESET מפקחת על botnet במשך מספר חודשים, מגלה את מנגנון הפיקוד והבקרה שלה וכן 8,867 כתובות IP ייחודיות המחוברות אליו, 3,000 מתוכן נוספו בשלושת השבועות האחרונים בלבד.

הם גם גילו שמומבלארד מחזיק בשני רכיבים עיקריים - אחד שאחראי על פעולת הספאם, ואחר שפועל כ דלת אחורית. נמצא כי שני המרכיבים נכתבו באמצעות פרל ומכילים את אותה המארז המותאם אישית שנכתב בשפת הרכבה.

בדו"ח בן 23 עמודים שהוצא על ידי ESET, החוקרים כתבו:

"תוכנות זדוניות הממוקדות לשרתי לינוקס ו- BSD הופכות מורכבות יותר ויותר. העובדה שהכותבים השתמשו במארז מותאם אישית כדי להסתיר את קוד המקור של פרל היא מעט מתוחכמת. עם זאת, הוא בהחלט לא מורכב כמו מבצע ווינדיגו שתיעדנו בשנת 2014. עם זאת, זה מדאיג שמפעילי המומבלארד היו פעילים שנים רבות ללא הפרעה. "

נראה כי חקירה נוספת של מומבלרד מקשרת אותה ל- Yellsoft, חברה שמוכרת את DirectMailer, מערכת הפצת דוא"ל אוטומטית המאפשרת למשתמש לשלוח הודעות באופן אנונימי..

DirectMailer, שנכתב גם בפרל ופועל במערכות מסוג UNIX, זמין במחיר של 240 דולר, אם כי מעניין לציין שהמפתחים מקשרים למעשה לאתר שמציע עותק סדוק של התוכנה. כאילו זה לא מספיק מוצל, הם גם מציינים שהם לא יכולים לספק שום תמיכה טכנית עבור גרסאות פיראטיות של התוכנה.

תראו, חוקרי ESET גילו לאחר מכן כי העותק הסדוק של התוכנה מכיל את הדלת האחורית של Mumblehard, כלומר ברגע שהיא מותקנת, מפעיל הבוטנט יכול לשלוח לאחר מכן ספאם ותעבורת פרוקסי דרך המכשיר הנגוע. לא ידוע האם הגרסה הרשמית של DirectMailer מכילה את התוכנה הזדונית.

החוקרים ממשיכים לנתח כיצד מומבלארד מתקין את עצמו במערכת וכעת הם מאמינים שמעבר לתוכנת DirectMailer הפיראטית, מערכות עשויות להיות גם בסיכון אם מפעילים גרסה פגיעה של מערכות ניהול התוכן ג'ומלה או וורדפרס..

לפיכך, עצת ESET למנהלי מערכות ברורה מאליה - שמור על מערכות הפעלה ויישומים מעודכנות במלואן באמצעות תיקונים והקפד להריץ תוכנת אבטחה המסופקת על ידי ספק בעל מוניטין.

מנהלי מערכת יכולים גם לחפש אחר עבודות cron לא מוסברות הפועלות על שרתים - Mumblehard משתמש בהן כדי לחייג הביתה לשרתי הפקודה שלה ולבקרה בדיוק כל 15 דקות..

כמו כן, בדרך כלל הדלת האחורית נמצאת בתיקיות / tmp או / var / tmp וניתן לבטלה על ידי הרכבה של ספריות אלה עם דגל noexec..

תמונה ראשית: דרק קוונטרל / Public Domain Pictures.net

תוכנות זדוניות שלא נחשפו הופכות שרתי לינוקס ו- BSD לנתיבי דואר זבל
admin Author
Sorry! The Author has not filled his profile.