Mumblehard:攻擊Linux和FreeBSD的惡意軟件

責(zé)任編輯:editor005

作者:Venvoo

2015-05-04 13:36:02

摘自:安全牛

ESET公司的研究人員發(fā)現(xiàn)了一個(gè)惡意軟件家族,其攻擊目標(biāo)是運(yùn)行Linux和FreeBSD的操作系統(tǒng)。對(duì)僵尸網(wǎng)絡(luò)進(jìn)行的監(jiān)測(cè)表明,“大聲bb”的主要目的似乎是通過受感染設(shè)備的合法IP地址發(fā)送垃圾信息。

ESET公司的研究人員發(fā)現(xiàn)了一個(gè)惡意軟件家族,其攻擊目標(biāo)是運(yùn)行Linux和FreeBSD的操作系統(tǒng)。

這種惡意軟件被稱為“大聲bb”(Mumblehard),其會(huì)幫助攻擊者創(chuàng)造后門,以提供被攻擊系統(tǒng)的控制權(quán)。根據(jù)ESET的說法,該惡意軟件的歷史至少可以追溯到2009年,并且內(nèi)含一個(gè)用于發(fā)送垃圾短信的模塊。

Mumblehard:攻擊Linux和FreeBSD的惡意軟件

這個(gè)惡意軟件的組件基本上都是Prel腳本,這部分代碼被加密封裝在ELF二進(jìn)制文件中。在某些情況下,這些Perl腳本會(huì)和另一個(gè)ELF可執(zhí)行文件一起被Packer封裝起來,類似于另一種惡意軟件俄羅斯套娃。

ESET的研究者利用隧道技術(shù)研究了該惡意軟件的后門模塊,并收集了被感染服務(wù)器上的信息。在七個(gè)月的時(shí)間里,他們觀察到“大聲bb”查詢的8867個(gè)獨(dú)立的IP地址。在數(shù)量最高的一天,獨(dú)立IP地址查詢量達(dá)到了3292個(gè)。

這個(gè)惡意軟件家族中包含兩個(gè)組件:后門和騷擾保障。這兩個(gè)組件都是用Perl寫的,并用匯編語言寫的Packer封裝起來。使用匯編語言創(chuàng)建ELF二進(jìn)制和混淆Perl源代碼的方式顯示了該惡意軟件家族的復(fù)雜性,這高于一般惡意軟件的平均水平。

對(duì)僵尸網(wǎng)絡(luò)進(jìn)行的監(jiān)測(cè)表明,“大聲bb”的主要目的似乎是通過受感染設(shè)備的合法IP地址發(fā)送垃圾信息。

研究人員發(fā)現(xiàn)垃圾郵件活動(dòng)和一家名為Yellsoft的公司有所關(guān)聯(lián)。這家公司銷售一種名為DirectMailer的郵件群發(fā)軟件。根據(jù)ESET的說法,它的樣本中硬編碼的幕后服務(wù)器IP地址均位于194.54.81.162到194.54.81.164之間。

如果檢查接下來的兩個(gè)IP地址,也就是194.54.81.165和194.54.81.166,就會(huì)發(fā)現(xiàn)這兩個(gè)地址都指向Yellsoft的域名服務(wù)器。 而且,yellsoft.net的網(wǎng)頁服務(wù)器就在194.54.81.166上。如果進(jìn)一步檢查最后的五個(gè)IP地址,也就是162~166,它們都會(huì)返回 相同的NS和SOA記錄,盡管這些IP地址實(shí)際上屬于rx-name.com。這些證據(jù)有力地表明,這五個(gè)IP地址都托管在同一臺(tái)服務(wù)器上。

此外ESET還表示,DirectMailer的盜版版本會(huì)在受害設(shè)備上安裝后門。另一個(gè)可能的注入向量是通過Joomla和Wordpress的漏洞實(shí)現(xiàn)的。

受害者應(yīng)該在他們服務(wù)器上的所有用戶間尋找未請(qǐng)求的Cronjob入口。

這是其后門使用的一種機(jī)制,用于每隔15分鐘將自身激活一次。該后門通常安裝在/tmp或/var/tmp目錄中。將tmp目錄改為noexec選項(xiàng)可以阻止后門開始運(yùn)行。

Mumblehard:攻擊Linux和FreeBSD的惡意軟件

  原文地址:http://www.aqniu.com/threat-alert/7576.html

鏈接已復(fù)制,快去分享吧

企業(yè)網(wǎng)版權(quán)所有?2010-2024 京ICP備09108050號(hào)-6京公網(wǎng)安備 11010502049343號(hào)