Linux rendszerekből épült botnet hálózat

2015. május 11. 11:31 - Csizmazia Darab István [Rambo]

A Linux/Mumblehard a Linuxot és a BSD rendszereket futtató szervereket támadja. A kártevő elsődleges célja, hogy a fertőzött eszközöket kéretlen leveleket küldő botnet kiépítésére használja fel. A kutatók azonosítani tudták a megfertőzött gépeket és figyelmeztették a tulajdonosokat. Beszédes adat, hogy a 7 hónapos vizsgálati periódus alatt több mint 8500 egyedi IP címet azonosítottak.

Az ESET kutatói szerint a kártevő két fő összetevőből épül fel. Az első komponens a Joomla és a Wordpress sérülékenységeit kihasználó általános backdoor (hátsóajtó) program, amely parancsokat fogad az irányító szervertől (Command and Control server).

A második összetevő teljes funkcionalitású spammer daemon (olyan rendszerszintű háttérfolyamatok és szolgáltatások, amik folyamatosan futnak, és valamilyen feladat elvégzéséért felelősek), amelyet a hátsóajtón keresztül kapott utasítás indít el.

Megfigyelhető, hogy a Mumblehard kártevő a Linux és BSD rendszereket futtató feltört DirectMailer nevű programon keresztül is terjed, amely jogtiszta változatát 240 dollárért lehet beszerezni a Yellowsoft oldalán. „Nyomozásaink során erős kapcsolatot találtunk a Yellsoft nevű szoftvercéggel. Néhány egyéb nyom mellett azt találtuk, hogy a kártevőben kódolt IP címek szorosan kötődnek a Yellsoft címeihez” – tette hozzá Léveillé.

Most, hogy a fenyegetés technikai paraméterei nyilvánosak, az áldozatok is könnyebben megérthetik mivel állnak szemben, és megtisztíthatják szervereiket.

Összefoglalva a Linux/Mumblehard kártevő veszélyt jelent a Linux és BSD webszerverekre egyaránt, és fő célja az volt, hogy legitim IP címek mögül hosszú időn keresztül tömeges méretekben spam üzeneteket küldjön ki. A fertőzött gépek száma a kutatók által vizsgált fél év alatt megduplázódott, és az elemzés arra is fényt derített, hogy az évek óta rejtve működő trójai kapcsolatban állhat a YellSoft nevű tömeges levélküldést végző (úgynevezett DirectMailer) céggel.

Maga a kártevő egy Perl nyelven írt script volt, amit elkódolva és futtatható formátumra (ez a Unix rendszereken ELF) lefordítva terjesztettek.

Fontos tanulsága az esetnek, hogy kártevő szempontból időnként az alternatív operációs rendszerek is veszélyben lehetnek, ezért ezeken is fontos a megfelelő konfigurálás, a tűzfal események nyomon követése, és a rendszeres biztonsági ellenőrzések elvégzése.

Az incidens emellett arra is ráirányította a figyelmet, hogy a szerver kiszolgálók biztonságát sem szabad elhanyagolni.  

Az ESET kutatóinak teljes részletességű "Unboxing Linux/Mumblehard - Muttering Spam for your Servers" című leírása (white paper) - amely a kártevő felépítését és tevékenységét vizsgálja - az alábbi linken olvasható:
http://www.welivesecurity.com/wp-content/uploads/2015/04/mumblehard.pdf

Szólj hozzá!

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

Nincsenek hozzászólások.
süti beállítások módosítása