ESET公司的研究人員發(fā)現(xiàn)了一個(gè)惡意軟件家族,其攻擊目標(biāo)是運(yùn)行Linux和FreeBSD的操作系統(tǒng)。
這種惡意軟件被稱為“大聲bb”(Mumblehard),其會(huì)幫助攻擊者創(chuàng)造后門,以提供被攻擊系統(tǒng)的控制權(quán)。根據(jù)ESET的說法,該惡意軟件的歷史至少可以追溯到2009年,并且內(nèi)含一個(gè)用于發(fā)送垃圾短信的模塊。
這個(gè)惡意軟件的組件基本上都是Prel腳本,這部分代碼被加密封裝在ELF二進(jìn)制文件中。在某些情況下,這些Perl腳本會(huì)和另一個(gè)ELF可執(zhí)行文件一起被Packer封裝起來,類似于另一種惡意軟件俄羅斯套娃。
ESET的研究者利用隧道技術(shù)研究了該惡意軟件的后門模塊,并收集了被感染服務(wù)器上的信息。在七個(gè)月的時(shí)間里,他們觀察到“大聲bb”查詢的8867個(gè)獨(dú)立的IP地址。在數(shù)量最高的一天,獨(dú)立IP地址查詢量達(dá)到了3292個(gè)。
這個(gè)惡意軟件家族中包含兩個(gè)組件:后門和騷擾保障。這兩個(gè)組件都是用Perl寫的,并用匯編語言寫的Packer封裝起來。使用匯編語言創(chuàng)建ELF二進(jìn)制和混淆Perl源代碼的方式顯示了該惡意軟件家族的復(fù)雜性,這高于一般惡意軟件的平均水平。
對(duì)僵尸網(wǎng)絡(luò)進(jìn)行的監(jiān)測(cè)表明,“大聲bb”的主要目的似乎是通過受感染設(shè)備的合法IP地址發(fā)送垃圾信息。
研究人員發(fā)現(xiàn)垃圾郵件活動(dòng)和一家名為Yellsoft的公司有所關(guān)聯(lián)。這家公司銷售一種名為DirectMailer的郵件群發(fā)軟件。根據(jù)ESET的說法,它的樣本中硬編碼的幕后服務(wù)器IP地址均位于194.54.81.162到194.54.81.164之間。
如果檢查接下來的兩個(gè)IP地址,也就是194.54.81.165和194.54.81.166,就會(huì)發(fā)現(xiàn)這兩個(gè)地址都指向Yellsoft的域名服務(wù)器。 而且,yellsoft.net的網(wǎng)頁服務(wù)器就在194.54.81.166上。如果進(jìn)一步檢查最后的五個(gè)IP地址,也就是162~166,它們都會(huì)返回 相同的NS和SOA記錄,盡管這些IP地址實(shí)際上屬于rx-name.com。這些證據(jù)有力地表明,這五個(gè)IP地址都托管在同一臺(tái)服務(wù)器上。
此外ESET還表示,DirectMailer的盜版版本會(huì)在受害設(shè)備上安裝后門。另一個(gè)可能的注入向量是通過Joomla和Wordpress的漏洞實(shí)現(xiàn)的。
受害者應(yīng)該在他們服務(wù)器上的所有用戶間尋找未請(qǐng)求的Cronjob入口。
這是其后門使用的一種機(jī)制,用于每隔15分鐘將自身激活一次。該后門通常安裝在/tmp或/var/tmp目錄中。將tmp目錄改為noexec選項(xiàng)可以阻止后門開始運(yùn)行。
原文地址:http://www.aqniu.com/threat-alert/7576.html