Linux/Mumblehard: O malware que envia spam através dos seus servidores

Os nossos investigadores descobriram uma nova família de malware para Linux que se manteve “invisível” durante mais de 5 anos. Demos o nome a esta família de Linux/Mumblehard e criámos um white paper que está disponível para download aqui.

Existem dois componentes na família de malware Mumblehard: uma backdoor e um daemon spam. Ambos foram desenvolvidos em Perl e apresentam o mesmo packer personalizado escrito em linguagem assembly. O uso de linguagem assembly para produzir binários ELF, de modo a ofuscar o código fonte Perl, mostra um nível de sofisticação superior às outras ameaças.

A monitorização da botnet sugere que o principal objectivo do Mumblehard parece ser o de enviar mensagens de spam ao abrigar-se na reputação dos endereços IP legítimos das máquinas infectadas.

O relacionamento entre os componentes e os seus servidores de comando e de controlo estão ilustrados no diagrama seguinte:

overview

Os investigadores da ESET foram capazes de acompanhar o comportamento da componente backdoor do Mumblehard ao registarem um nome de domínio utilizado por um dos servidores C&C. Mais de 8.500 endereços IP únicos contactaram este domínio enquanto íamos observando a entrada de pedidos.

O gráfico abaixo mostra o número de endereços IP únicos observados a cada dia durante esse período.

ip_per_day_only

Podemos observar no gráfico que durante a primeira semana de abril, mais de 3.000 máquinas foram afetadas pela Mumblehard. O número de hospedeiros infectados está a diminuir lentamente, mas a visão geral mostra que a infecção ocorre em momentos específicos e que a dimensão da botnet duplicou ao longo de um período de 6 meses.

Um rápido olhar na lista de vítimas sugere que Mumblehard visa principalmente os servidores web.

Ligações com a Yellsoft

A nossa investigação revela também uma forte ligação entre o Mumblehard e o Yellsoft. A Yellsoft vende software, escrito em Perl, desenvolvido para enviar e-mails em massa. Este programa tem o nome de DirectMailer. A primeira ligação entre eles é que os endereços IP usados como servidores C & C para ambos os componentes backdoor e spam estão localizados no mesmo intervalo do servidor de armazenamento da yellsoft.net. A segunda ligação é que encontrámos cópias piratas do DirectMailer on-line que, na verdade, instalam silenciosamente o backdoor Mumblehard quando são executadas. As cópias piratas também foram ofuscados pelo mesmo sistema utilizado pelos componentes maliciosos do Mumblehard.

Prevenção

As vítimas devem procurar por entradas cron não solicitadas que estão associadas a cada um dos utilizadores nos servidores. Este é o mecanismo utilizado pelo Mumblehard para activar as backdoors a cada 15 minutos. O backdoor é normalmente instalado em / tmp ou / var / tmp. Montar a pasta tmp com a opção noexec evita que o backdoor seja iniciado em primeiro lugar.

Pode descarregar o white paper completo aqui.

DEIXE UMA RESPOSTA

Please enter your comment!
Please enter your name here

10 + 9 =