Malware yang belum ditemukan mengubah server Linux dan BSD menjadi bot spam

[ware_item id=33][/ware_item]

mumblehard-botnet


Keluarga baru malware, dijuluki "Mumblehard" oleh peneliti keamanan, telah berhasil menginfeksi server web yang berjalan di Linux dan BSD selama lebih dari lima tahun..

Meskipun diunggah ke VirusTotal pada tahun 2009, malware ini sebagian besar tidak terdeteksi sejak dan, selama enam bulan terakhir saja, telah berlipat ganda dalam ukurannya, yang mengarah ke botnet yang mampu meledakan sejumlah besar email spam.

Para peneliti dari perusahaan antivirus ESET pertama kali mengetahui Mumblehard setelah administrator sistem meminta bantuan setelah menemukan salah satu server mereka telah dimasukkan daftar hitam karena mengirim spam.

Sejak itu, ESET telah memantau botnet selama beberapa bulan, menemukan mekanisme perintah dan kontrolnya serta 8.867 alamat IP unik yang terhubung dengannya, 3.000 di antaranya ditambahkan dalam tiga minggu terakhir saja..

Mereka juga menemukan bahwa Mumblehard memiliki dua komponen utama - satu yang bertanggung jawab atas operasi spam, dan lainnya yang bertindak sebagai pintu belakang. Kedua komponen ditemukan telah ditulis menggunakan Perl dan berisi pembungkus kustom yang sama yang ditulis dalam bahasa assembly.

Dalam laporan 23 halaman yang dikeluarkan oleh ESET, para peneliti menulis:

“Malware yang menargetkan server Linux dan BSD menjadi semakin kompleks. Fakta bahwa penulis menggunakan pengepak khusus untuk menyembunyikan kode sumber Perl agak canggih. Namun, ini jelas tidak serumit Operasi Windigo yang kami dokumentasikan pada tahun 2014. Meskipun demikian, mengkhawatirkan bahwa operator Mumblehard telah aktif selama bertahun-tahun tanpa gangguan. ”

Investigasi lebih lanjut ke Mumblehard tampaknya menautkannya ke Yellsoft, sebuah perusahaan yang menjual DirectMailer, sistem distribusi email otomatis yang memungkinkan pengguna mengirim pesan secara anonim.

DirectMailer, yang juga ditulis dalam Perl dan berjalan pada sistem tipe UNIX, tersedia seharga $ 240, meskipun menarik untuk dicatat bahwa pengembang sebenarnya menautkan ke situs yang menawarkan salinan retak dari perangkat lunak. Seolah ini tidak cukup teduh, mereka juga mencatat bahwa mereka tidak dapat memberikan dukungan teknis untuk versi perangkat lunak bajakan.

Lihatlah, para peneliti ESET kemudian menemukan bahwa salinan retak dari perangkat lunak tersebut berisi backdoor Mumblehard, yang berarti bahwa setelah diinstal, operator botnet kemudian dapat mengirim spam dan lalu lintas proxy melalui perangkat yang terinfeksi. Apakah DirectMailer versi resmi mengandung malware atau tidak, tidak diketahui.

Para peneliti terus menganalisis bagaimana Mumblehard menginstal sendiri pada suatu sistem dan saat ini percaya bahwa, di luar perangkat lunak DirectMailer bajakan, sistem juga mungkin berisiko jika menjalankan versi yang rentan dari sistem manajemen konten Joomla atau WordPress.

Oleh karena itu, saran ESET kepada administrator sistem jelas - pertahankan sistem operasi dan aplikasi sepenuhnya diperbarui dengan tambalan dan pastikan untuk menjalankan perangkat lunak keamanan yang disediakan oleh vendor terkemuka.

Administrator juga dapat melihat pekerjaan cron yang tidak dapat dijelaskan berjalan di server - Mumblehard menggunakannya untuk menghubungi rumah ke perintah dan mengontrol server tepat setiap 15 menit.

Juga, backdoor biasanya ditemukan di dalam folder / tmp atau / var / tmp dan dapat dibatalkan dengan me-mount direktori tersebut dengan flag noexec.

Gambar pilihan: Derek Quantrell / Public Domain Pictures.net

Malware yang belum ditemukan mengubah server Linux dan BSD menjadi bot spam
admin Author
Sorry! The Author has not filled his profile.