بدافزارهای کشف نشده سرورهای لینوکس و BSD را به بات نت های اسپم تبدیل می کنند

موتلفه-botnets

خانواده جدیدی از بدافزارها ، محققان امنیتی لقب "Mumblehard" دارند ، بیش از پنج سال است که با موفقیت سرورهای وب را اجرا می کنند که روی Linux و BSD کار می کنند..

با وجود اینکه در سال 2009 در VirusTotal بارگذاری شد ، این بدافزار از آنجایی که هنوز کشف نشده است ، کشف نشده است و در طول شش ماه گذشته ، اندازه آن دو برابر شده است و منجر به یک بات نت شده است که می تواند مقدار زیادی ایمیل اسپم را منفجر کند..

محققان شركت آنتی ویروس ESET ابتدا پس از كشف یكی از سرورهای خود در لیست سیاه برای ارسال هرزنامه ، از Mumblehard آگاه شدند..

از آن زمان ، ESET چندین ماه با نت را کنترل کرده و مکانیسم فرمان و کنترل خود و همچنین 8،867 آدرس IP منحصر به فرد متصل به آن را کشف کرده است ، 3،000 مورد آن تنها در سه هفته گذشته اضافه شده است..

آنها همچنین دریافتند که بمبئول دارای دو مؤلفه کلیدی است - یکی که مسئولیت عملکرد اسپم را بر عهده دارد و دیگری که به عنوان پشتیبان عمل می کند. مشخص شد که هر دو مؤلفه با استفاده از Perl نوشته شده و حاوی همان بسته بندی سفارشی است که به زبان مونتاژ نوشته شده است.

در گزارشی 23 صفحه ای که توسط ESET منتشر شده است ، محققان نوشتند:

وی افزود: "بدافزارهایی که سرورهای لینوکس و BSD را هدف قرار می دهند ، پیچیده تر می شوند. این واقعیت که نویسندگان برای پنهان کردن کد منبع Perl از یک بستر سفارشی استفاده کرده اند ، کمی پیچیده است. با این حال ، قطعاً به اندازه عملیات Windigo که ما در سال 2014 ثبت کردیم ، پیچیده نیست. با این وجود ، نگران کننده است که اپراتورهای Mumblehard سالهاست که بدون ایجاد اختلال فعالیت می کنند. "

به نظر می رسد تحقیقات بیشتر در مورد مumblehard آن را به Yellsoft ، شرکتی که DirectMailer می فروشد ، بفروشد ، یک سیستم توزیع خودکار خودکار ایمیل که به کاربر امکان ارسال پیام های ناشناس را می دهد.

DirectMailer ، که در Perl نیز نوشته شده است و روی سیستمهای از نوع یونیکس اجرا شده است ، با قیمت 240 دلار در دسترس است ، البته جالب است که توجه داشته باشید که توسعه دهندگان در واقع به یک سایتی پیوند می دهند که نسخه ترکیبی از نرم افزار را ارائه می دهد. به نظر می رسد اگر این اندازه کافی سایه نباشد ، آنها همچنین توجه دارند که قادر به ارائه پشتیبانی فنی برای نسخه های سرقت شده نرم افزار نیستند.

با توجه به این نکته ، محققان ESET متعاقباً دریافتند که کپی شده نرم افزار حاوی Backdoor Mumblehard است به این معنی که پس از نصب ، اپراتور بات نت می تواند از طریق دستگاه آلوده ترافیک اسپم و پروکسی را ارسال کند. آیا نسخه رسمی DirectMailer حاوی این بدافزار است یا خیر ، مشخص نیست.

محققان در ادامه به تحلیل چگونگی نصب مومبلرد خود بر روی یک سیستم می پردازند و در حال حاضر معتقدند که فراتر از نرم افزار دزدگیر DirectMailer ، سیستم های همچنین ممکن است در صورت اجرای نسخه آسیب پذیر سیستم های مدیریت محتوای جوملا یا وردپرس در معرض خطر باشند..

بنابراین ، توصیه ESET به مدیران سیستم آشکار است - سیستم عامل ها و برنامه های کاربردی را کاملاً با تکه های به روز نگه دارید و حتما نرم افزار امنیتی ارائه شده توسط یک فروشنده معتبر را اجرا کنید.

سرپرستان همچنین می توانند به دنبال کار غیرقابل توضیح در مورد سرورها باشند - Mumblehard از آنها استفاده می کند تا دقیقاً هر 15 دقیقه یکبار در خانه به سرورهای فرمان و کنترل خود شماره گیری کنند..

همچنین ، backdoor به طور معمول در پوشه های / tmp یا / var / tmp یافت می شود و با نصب آن فهرست ها با پرچم noexec می توان آنرا ابطال کرد..

تصویر برجسته: Derek Quantrell / Public Domain Pictures.net

بدافزارهای کشف نشده سرورهای لینوکس و BSD را به بات نت های اسپم تبدیل می کنند
admin Author
Sorry! The Author has not filled his profile.