2024.március.29. péntek.

EUROASTRA – az Internet Magazin

Független válaszkeresők és oknyomozók írásai

Semmi sem elképzelhetetlen: Linux rendszerekből épült botnet hálózat

3 perc olvasás
<!--[if gte mso 9]><xml> Normal 0 21 false false false MicrosoftInternetExplorer4 </xml><![endif]--> <p><span class="inline inline-left"><a href="/node/90949"><img class="image image-preview" src="/files/images/Mumblehard_overview.preview.png" border="0" width="469" height="514" /></a></span>Az ESET kiadta ‘<a href="http://www.welivesecurity.com/2015/04/29/unboxing-linuxmumblehard-muttering-spam-servers">Unboxing Linux/Mumblehard - Muttering Spam for your Servers</a>' című kutatását, amely a Mumblehard kártevő felépítését és tevékenységét vizsgálja.</p> <h1> 

mumblehard overview.previewAz ESET kiadta ‘Unboxing Linux/Mumblehard – Muttering Spam for your Servers' című kutatását, amely a Mumblehard kártevő felépítését és tevékenységét vizsgálja.

 

mumblehard overview.previewAz ESET kiadta ‘Unboxing Linux/Mumblehard – Muttering Spam for your Servers' című kutatását, amely a Mumblehard kártevő felépítését és tevékenységét vizsgálja.

 

A Linux/Mumblehard a Linuxot és a BSD rendszereket futtató szervereket támadja. A kártevő elsődleges célja, hogy a fertőzött eszközöket kéretlen leveleket küldő botnet kiépítésére használja fel. „Képesek vagyunk azonosítani a megfertőzött gépeket és figyelmeztetni a tulajdonosokat" – mondta Marc-Etienne M. Léveillé, az ESET vezető biztonsági kutatója. „Beszédes adat, hogy a 7 hónapos vizsgálati periódus alatt több mint 8500 egyedi IP címet azonosítottunk. Most, hogy a fenyegetés technikai paraméterei nyilvánosak, az áldozatok könnyebben megérthetik mivel állnak szemben, és megtisztíthatják szervereiket."

 

Az ESET kutatói szerint a kártevő két fő összetevőből épül fel. Az első komponens a Joomla és a WordPress sérülékenységeit kihasználó általános backdoor (hátsóajtó) program, amely parancsokat fogad az irányító szervertől (Command and Control server). A második összetevő teljes funkcionalitású spammer daemon (olyan rendszerszintű háttérfolyamatok és szolgáltatások, amik folyamatosan futnak, és valamilyen feladat elvégzéséért felelősek), amelyet a hátsóajtón keresztül kapott utasítás indít el. Megfigyelhető, hogy a Mumblehard kártevő a Linux és BSD rendszereket futtató feltört DirectMailer nevű programon keresztül is terjed, amely jogtiszta változatát 240 dollárért lehet beszerezni a Yellowsoft oldalán. „Nyomozásaink során erős kapcsolatot találtunk a Yellsoft nevű szoftvercéggel. Néhány egyéb nyom mellett azt találtuk, hogy a kártevőben kódolt IP címek szorosan kötődnek a Yellsoft címeihez" – tette hozzá Léveillé.

 

Összefoglalva a Linux/Mumblehard fő célja az volt, hogy legitim IP címek mögül hosszú időn keresztül tömeges méretekben spam üzeneteket küldjön ki. A fertőzött gépek száma a kutatók által vizsgált hat hónap alatt megduplázódott, és az elemzés arra is fényt derített, hogy az évek óta rejtve működő trójai kapcsolatban állhat a YellSoft nevű tömeges levélküldést végző (úgynevezett DirectMailer) céggel. Maga a kártevő egy Perl nyelven írt script volt, amit elkódolva és futtatható formátumra (ez a Unix rendszereken ELF) lefordítva terjesztettek.

 

Fontos tanulsága az esetnek, hogy kártevő szempontból időnként az alternatív operációs rendszerek is veszélyben lehetnek, ezért ezeken is fontos a megfelelő konfigurálás, a tűzfal események nyomon követése, és a rendszeres biztonsági ellenőrzések elvégzése. Az incidens emellett arra is ráirányította a figyelmet, hogy, a szerver kiszolgálók biztonságát sem szabad elhanyagolni, illetve fontos a megbízható biztonsági megoldások, mint például az ESET Server Security rendszeres futtatása. 

 

Az ESET kutatóinak teljes részletességű leírása (white paper) az alábbi linken olvasható:

http://www.welivesecurity.com/wp-content/uploads/2015/04/mumblehard.pdf

 

 

EZ IS ÉRDEKELHETI

Vélemény, hozzászólás?

Az e-mail címet nem tesszük közzé. A kötelező mezőket * karakterrel jelöltük

1973-2023 WebshopCompany Ltd. Uk Copyright © All rights reserved. Powered by WebshopCompany Ltd.