Το προφίλ μας στο Google Plus
0

Malware μετέτρεπε Linux και BSD servers σε μηχανές SPAM

Για περισσότερα από πέντε χρόνια, servers ανά τον πλανήτη που έτρεχαν Linux ή BSD αποτελούσαν στόχους για backdoor Trojan που τους μετέτρεπε σε spambots.

Ανενόχλητο για χρόνια, malware μετέτρεπε Linux και BSD servers σε μηχανές SPAM

Την ανακάλυψη έκαναν ερευνητές της ESET και είναι αξιοσημείωτο πως οι spammers σχετίζονταν με μια εταιρεία λογισμικού ονόματι Yellsoft, η οποία πουλάει το DirectMail. Πρόκειται για ένα αυτοματοποιημένο σύστημα διανομής email που επιτρέπει στο χρήστη του να αποστέλλει μηνύματα ανώνυμα.

Η επιχείρηση των spammers είχε καταφέρει να μείνει κρυφή για πολλούς λόγους: το σχετικό malware είναι προηγμένο, σιωπηρό και κάνει ό,τι μπορεί για να παραμένει στο σύστημα-στόχο. Επιπρόσθετα, δεν προσπαθεί επίμονα να μολύνει άλλα συστήματα, ενώ τα ήδη μολυσμένα δεν αποστέλλουν spam διαρκώς.

Οι ερευνητές ξεκίνησαν εξετάζοντας malware που βρήκαν σε server ο οποίος είχε μπει σε μαύρη λίστα λόγω αποστολής spam. Ονόμασαν το κακόβουλο λογισμικό “Mumblehard” και μετά από ανάλυση διαπίστωσαν ότι αποτελούταν από αρκετά διακριτά εξαρτήματα, μεταξύ αυτών ένα τυπικό backdoor που επικοινωνεί με command & control server προκειμένου να κατεβάσει τη μηχανή spamming, καθώς κι έναν τυπικό proxy.

Τα εξαρτήματα του Mumblehard είναι κατά κύριο λόγω Perl scripts, κρυπτογραφημένα και πακεταρισμένα μέσα σε ELF binaries. Σε κάποιες περιπτώσεις ένα Perl script περιλαμβάνει άλλο ένα ELF executable με τον ίδιο packer, όπως μια Μπαμπούσκα, εξηγεί ο Marc-Etienne Leveille σε αναφορά όπου παρουσιάζονται τα ευρήματα της ομάδας. Ο τρόπος κατά τον οποίο κρύβονται τα scripts μέσα σε ELF binaries δεν είναι συνηθισμένος — κι αυτό κέντρισε το ενδιαφέρον των ερευνητών.

Το backdoor επιχειρεί να επικοινωνήσει με 10 στο πλήθος domains ισάριθμων command & control servers και το γεγονός αυτό επέτρεψε στους ερευνητές να πάρουν τον έλεγχο ενός εξ αυτών. Έτσι, μπόρεσαν να παρακολουθήσουν τη δραστηριότητα μολυσμένων hosts μεταξύ 19/9/2014 και 22/4/2015. Μέσα σ’ αυτό το διάστημα είδαν αιτήματα του Mumblehard από 8867 διαφορετικές διευθύνσεις IP, η πλειονότητα των οποίων ανήκε σε servers που χρησιμοποιούνται για τη φιλοξενία δικτυακών τόπων.

Εξετάζοντας τις διευθύνσεις IP των command & control servers οι ερευνητές έφτασαν στην εταιρεία Yellsoft. Από το δικτυακό της τόπο διαπίστωσαν ότι το DirectMailer είναι γραμμένο σε Perl και τρέχει σε Unixοειδή λειτουργικά συστήματα, περίπου όπως το Mumblehard, υπογραμμίζει ο Leveille.

Το DirectMail πωλείται προς 240 δολάρια αλλά, όλως περιέργως, στο site υπάρχει link προς μία “σπασμένη” εκδοχή του προγράμματος. Οι developers του DirectMail εξηγούν ότι δεν παρέχουν υποστήριξη σε χρήστες που έχουν πάρει το DirectMail από τον τόπο που δείχνει το link ή οποιονδήποτε άλλο. Το γεγονός, ωστόσο, ότι παρέχουν το link, είναι τουλάχιστον παράξενο.

Γιατί θα ήθελες να δείχνεις σε άλλους πώς να κλέβουν το λογισμικό που πουλάς; αναρωτιέται ο Leveille και προσθέτει ότι αυτό το γεγονός, μαζί με το ότι ο δικτυακός τόπος της Yellsoft είναι σε host όπου βρίσκεται και ένας command & control server, υποδεικνύει ότι οι άνθρωποι της Yellsoft βρίσκονται πίσω από το δίκτυο των μολυσμένων από το Mumblehard μηχανημάτων. Επιπρόσθετα, η πειρατική εκδοχή του DirectMail πράγματι περιλαμβάνει το backdoor component του Mumblehard. Αυτό που ακόμα δεν έχει ξεκαθαρίσει είναι αν το περιλαμβάνει και η πρωτότυπη ή αλλιώς επίσημη εκδοχή του DirectMail — αυτή ακριβώς που πωλείται προς 240 δολάρια.

Ο Leveille εξηγεί πως ούτε εκείνος, ούτε και κάποιο άλλο μέλος της ομάδας, θέλει να αγοράσει το DirectMail προκειμένου να το εξετάσουν. Καλούν ωστόσο όποιον το έχει ήδη αγοράσει και επιθυμεί να τους βοηθήσει, να τους το στείλει.

Οι ερευνητές πιστεύουν ότι το Mumblehard πιθανώς να είναι εγκατεστημένο σε servers που τρέχουν Joomla ή WordPress, μέσω αντίστοιχων exploits. Προειδοποιούν μάλιστα τους διαχειριστές να ελέγξουν για την παρουσία υπόπτων cronjobs σε κάθε λογαριασμό χρήστη, αφού αυτή είναι η μέθοδος που ενεργοποιεί το Mumblehard κάθε 15 λεπτά. Το backdoor συχνά βρίσκεται εγκατεστημένο είτε στον κατάλογο /tmp είτε στον /var/tmp. Η προσάρτηση των καταλόγων αυτών με την παράμετρο noexec αποτρέπει τη δυνατότητα εκτέλεσης του backdoor.

Περισσότερα δείτε στο σχετικό paper.

Πηγή: Help Net Security

Leave a Reply

You must be logged in to post a comment.

Σύνδεση

Αρχείο δημοσιεύσεων