Malware yang tidak dijumpai telah menjadikan pelayan Linux dan BSD menjadi spammer

mumblehard-botnets


Keluarga baru malware, yang dijuluki “Mumblehard” oleh penyelidik keselamatan, telah berjaya menjangkiti pelayan web yang berjalan di Linux dan BSD selama lebih dari lima tahun.

Walaupun telah dimuat naik ke VirusTotal pada tahun 2009, malware telah banyak tidak dapat dikesan sejak dan, sejak enam bulan terakhir sahaja, telah dua kali ganda saiz, yang membawa kepada botnet yang mampu meletupkan sejumlah besar e-mel spam.

Penyelidik dari syarikat antivirus ESET pertama kali menyedari Mumblehard selepas pentadbir sistem meminta bantuan selepas menemui salah satu pelayan mereka telah disenarai hitam untuk menghantar spam.

Sejak itu, ESET telah memantau botnet selama beberapa bulan, menemui mekanisme arahan dan kawalannya serta 8,867 alamat IP unik yang disambungkan kepadanya, 3,000 daripadanya telah ditambahkan dalam tiga minggu terakhir sahaja.

Mereka juga mendapati bahawa Mumblehard mempunyai dua komponen utama – satu yang bertanggungjawab untuk operasi spam, dan yang lain bertindak sebagai pintu belakang. Kedua-dua komponen didapati telah ditulis menggunakan Perl dan mengandungi pembungkus adat yang sama yang ditulis dalam bahasa perhimpunan.

Dalam laporan 23 muka surat yang dikeluarkan oleh ESET, penyelidik menulis:

“Malware yang menyasarkan pelayan Linux dan BSD semakin kompleks. Hakikat bahawa penulis menggunakan pembungkus adat untuk menyembunyikan kod sumber Perl adalah agak canggih. Walau bagaimanapun, ia tidak begitu rumit seperti Operasi Windigo yang kami dokumentasikan pada tahun 2014. Namun, ia membimbangkan bahawa pengendali Mumblehard telah aktif selama bertahun-tahun tanpa gangguan. “

Siasatan lanjut ke Mumblehard nampaknya menghubungkannya dengan Yellsoft, sebuah syarikat yang menjual DirectMailer, sistem pengedaran e-mel automatik yang membolehkan pengguna menghantar mesej secara anonim.

DirectMailer, yang juga ditulis dalam Perl dan berjalan pada sistem jenis UNIX, boleh didapati dengan $ 240, walaupun menarik untuk diketahui bahawa pemaju sebenarnya menghubungkan ke tapak yang menawarkan salinan retak perisian. Seolah-olah ini tidak cukup teduh, mereka juga menyedari bahawa mereka tidak dapat memberikan apa-apa sokongan teknikal untuk versi perisian cetak rompak.

Di sini, para penyelidik ESET kemudian mendapati bahawa salinan retak perisian mengandungi pintu belakang Mumblehard, yang bermaksud bahawa sebaik sahaja ia dipasang, pengendali botnet kemudian boleh menghantar spam dan lalu lintas proksi melalui peranti yang dijangkiti. Sama ada atau tidak versi Rasmi DirectMailer mengandungi malware tidak diketahui.

Para penyelidik terus menganalisis bagaimana Mumblehard memasang sendiri sistem dan kini percaya bahawa, di luar perisian DirectMailer cetak rompak, sistem juga mungkin berisiko jika menjalankan versi terdedah dari sistem pengurusan kandungan Joomla atau WordPress.

Oleh itu, nasihat ESET kepada pentadbir sistem adalah jelas – pastikan sistem operasi dan aplikasi dikemas kini dengan patch dan pastikan untuk menjalankan perisian keselamatan yang disediakan oleh vendor yang bereputasi.

Pentadbir juga boleh melihat kerja cron yang tidak dapat dijelaskan berjalan di pelayan – Mumblehard menggunakannya untuk mendail rumah ke pelayan perintah dan kawalannya tepat setiap 15 minit.

Juga, backdoor biasanya terdapat dalam folder / tmp atau / var / tmp dan boleh dibatalkan dengan memasang direktori tersebut dengan bendera noexec.

Imej yang dipilih: Derek Quantrell / Domain Awam Pictures.net

Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map