Linux/Mumblehard بدافزار سیستم عامل های لینوکس و BSD

Linux/Mumblehard یک خانواده از بدافزاری است که سیستم عامل های لینوکس وBSD را هدف قرار داده است.

این بدافزار با آلوده کردن سرور، یک backdoor را برای جرایم سایبری ایجاد می کند که اجازه کنترل کامل سیستم را با اجرای کد دلخواه می دهد.

این بدافزار همچنین یک پروکسی و یک ماژول برای ارسال پیام های اسپم دارد.

اجزای Mumblehard عمدتاْ اسکریپ های PERL ایی هستند که در فایل های ELF قرار گرفته اند. به تازگی چند سیستم آلوده به این بدافزار توسط یک CERT‌ خارجی به مرکز ماهر اعلام گردیده است.

برخی از یافته های محققان در خصوص این بدافزار به شرح ذیل می باشد:

• اسکریپت های PERL ایی که درون فایل های ELF قرار گرفته اند به زبان اسمبلی نوشته شده اند که نشان دهنده پیچیدگی آن است.
• حدود 8867 آدرس IP‌ های یکتا از طریق سرورهای sinkhole در طی ۷ ماه مشاهده شده اند.
• بالاترین تعداد آدرس IP‌ های یکتا در یک روز حدود3292 است.
• بدافزار Mumblehard از حدود سال ۲۰۰۹ فعال می باشد.
• در میان سیستم های آلوده، سرورهای وب بیشتر مشکوک به آلوده شدن هستند.
• ارتباط کاملاً مشخصی بین بدافزار Mumblehard و Yellsoft که یک شرکت آنلاین فروش نرم افزار هست نیز مشاهده شده است.

نحوه آلوده سازی

تاکنون دو جز از این بدافزار شناخته شده است. اولی یک backdoor‌عمومی است که درخواست هایی را به سرور C&C‌ ارسال می کند. درخواست ها شامل یک URL است که فایلی را دانلود و اجرا می نماید. دومی یک سرویس اسپمر همه کاره است. هر دو جزء به زبان PERL‌ است که با پکرهای خاص نوشته شده و با اسمبلی obfuscate شده است. در دیاگرام ذیل ارتباط بین اجزای بدافزار و سرورهای C&C‌ آن ها نشان داده شده است.

نشانه های آلودگی

·         ارسال بسته های UDP شبکه به :

   194.54.81.162 port 53

·         ارتباطات TCP به :

      194.54.81.163 port 80 (backdoor)

  194.54.81.163 port 54321 (proxy)

194.54.81.163 port 25 (spammer)

  194.54.81.164 port 25 (spammer)

·         درخواست های HTTP با الگوی User-Agent

    Mozilla/5.0 (Windows NT 6.1; rv:7.0.1) Gecko/.. Firefox/7.0.1

·         فایل اجرایی این بدافزار در مسیر /tmp یا /var/tmp قرار گرفته و از طریق cron اجرا می گردد.

$ crontab –l

*/15 * * * * /var/tmp/qCVwOWA >/dev/null 2>&1

محتوی ایمیل های اسپم

محتوای اسپم تبلیغ محصولات دارویی است که لینک های فروشگاه های آنلاین آن نیز ارائه گردیده است. در ذیل نمونه ای از پیغام دریافتی توسط قربانی مشاهده می گردد.

قربانی سپس به صفحه آنلاین فروش دارو هدایت می گردد.

روش مقابله و پاکسازی

در صورت آلودگی به این بدافزار، فایل اجرایی بدافزار را از مسیر /tmp یا /var/tmp پاک کرده و cron مربوط به آن را پاک کنید.

از آنجایی که بیشتر آنتی ویروس های معتبر، این بدافزار را شناسایی می کنند، نصب و بروزرسانی آنتی ویروس ها و عدم بازکردن ایمیل های ناشناس با لینک ها و پیوست های آن موجب عدم آلوده شدن به این بدافزارها و دیگر بدافزارهای مشابه خواهد شد.

مرجع :

http://www.welivesecurity.com/wp-content/uploads/2015/04/mumblehard.pdf

http://www.linuxjournal.com/content/mumblehard-lets-end-its-five-year-reign

فسا-پسا