forum.opennet.ru

Составление сообщения

Исходное сообщение

"Анализ Mumblehard, вредоносного ПО для Linux и FreeBSD"
Отправлено opennews, 04-Май-15 09:12

Компания ESET опубликовала (http://www.welivesecurity.com/2015/04/29/unboxing-linuxmumbl.../) отчёт
(PDF (http://www.welivesecurity.com/wp-content/uploads/2015/04/mum...)) с результатами анализа троянского ПО Mumblehard, внедряемого злоумышленниками на серверы под управлением Linux и FreeBSD, и используемого для построения ботнета, специализирующегося на рассылке спама. Сообщается, что в настоящее время зафиксировано около 8900 поражённых данным вредоносным ПО хостов. Активность прослеживается с 2009 года, но пик расширения ботнета наблюдается последние несколько месяцев (например, в первую неделю апреля к ботнету было подключено около 3 тысяч новых узлов).

Для распространения Mumblehard атакующие используют различные уязвимости, незакрытые в web-приложениях. Поражаются в основном web-серверы, на которых ненадлежащим образом организован процесс установки обновлений. Само по себе Mumblehard включает только бэкдор для организации удалённого управления и демон для рассылки спама, сочетающий в себе функции прокси. Mumblehard обычно устанавливается в директории /tmp или /var/tmp и вызывается через cron каждые 15 минут. Выявить Mumblehard можно по наличию в crontab вызовов программ, подобных "/var/tmp/qCVwOWA". Для защиты помогает монтирование /tmp с опцией noexec.
Необычной особенностью Mumblehard является то, что он написан на языке Perl, но распространяется в форме исполняемого файла в формате ELF с компактным распаковщиком на языке ассемблера. Для скрытия Perl-кода от первичного изучения применяется простейшее шифрование. ELF-файл оформлен таким образом, что может запускаться как в Linux, так и на системах BSD.
<center><img src="https://www.opennet.ru/opennews/pics_base/0_1430719618.png" style="border-style: solid; border-color: #606060; border-width: 1px;max-width:100%;" title="" border=0></center>

<center><a href="http://www.welivesecurity.com/wp-content/uploads/2015/04/ove... src="https://www.opennet.ru/opennews/pics_base/0_1430718684.png" style="border-style: solid; border-color: #606060; border-width: 1px;max-width:100%;" title="" border=0></a></center>
URL: http://www.welivesecurity.com/2015/04/29/unboxing-linuxmumbl.../
Новость: https://www.opennet.ru/opennews/art.shtml?num=42159

Исходное сообщение
"Анализ Mumblehard, вредоносного ПО для Linux и FreeBSD" Отправлено opennews, 04-Май-15 09:12
Компания ESET опубликовала (http://www.welivesecurity.com/2015/04/29/unboxing-linuxmumbl.../) отчёт (PDF (http://www.welivesecurity.com/wp-content/uploads/2015/04/mum...)) с результатами анализа троянского ПО Mumblehard, внедряемого злоумышленниками на серверы под управлением Linux и FreeBSD, и используемого для построения ботнета, специализирующегося на рассылке спама. Сообщается, что в настоящее время зафиксировано около 8900 поражённых данным вредоносным ПО хостов. Активность прослеживается с 2009 года, но пик расширения ботнета наблюдается последние несколько месяцев (например, в первую неделю апреля к ботнету было подключено около 3 тысяч новых узлов). Для распространения Mumblehard атакующие используют различные уязвимости, незакрытые в web-приложениях. Поражаются в основном web-серверы, на которых ненадлежащим образом организован процесс установки обновлений. Само по себе Mumblehard включает только бэкдор для организации удалённого управления и демон для рассылки спама, сочетающий в себе функции прокси. Mumblehard обычно устанавливается в директории /tmp или /var/tmp и вызывается через cron каждые 15 минут. Выявить Mumblehard можно по наличию в crontab вызовов программ, подобных "/var/tmp/qCVwOWA". Для защиты помогает монтирование /tmp с опцией noexec. Необычной особенностью Mumblehard является то, что он написан на языке Perl, но распространяется в форме исполняемого файла в формате ELF с компактным распаковщиком на языке ассемблера. Для скрытия Perl-кода от первичного изучения применяется простейшее шифрование. ELF-файл оформлен таким образом, что может запускаться как в Linux, так и на системах BSD. <center><img src="https://www.opennet.ru/opennews/pics_base/0_1430719618.png" style="border-style: solid; border-color: #606060; border-width: 1px;max-width:100%;" title="" border=0></center> <center><a href="http://www.welivesecurity.com/wp-content/uploads/2015/04/ove... src="https://www.opennet.ru/opennews/pics_base/0_1430718684.png" style="border-style: solid; border-color: #606060; border-width: 1px;max-width:100%;" title="" border=0></a></center> URL: http://www.welivesecurity.com/2015/04/29/unboxing-linuxmumbl.../ Новость: https://www.opennet.ru/opennews/art.shtml?num=42159

Ваше сообщение

Имя*:

EMail:

Для отправки ответов на email укажите знак ! перед адресом, например, !user@host.ru (!! - не показывать email).
Более тонкая настройка отправки ответов производится в профиле зарегистрированного участника форума.

Заголовок*:

Сообщение*:

> Компания ESET опубликовала (http://www.welivesecurity.com/2015/04/29/unboxing-linuxmumblehard-muttering-spam-servers/) 
> отчёт 
> (PDF (http://www.welivesecurity.com/wp-content/uploads/2015/04/mumblehard.pdf)) 
> с результатами анализа троянского ПО Mumblehard, внедряемого злоумышленниками на серверы 
> под управлением Linux и FreeBSD, и используемого для построения ботнета, специализирующегося 
> на рассылке спама. Сообщается, что в настоящее время зафиксировано около 8900 
> поражённых данным вредоносным ПО хостов. Активность прослеживается с 2009 года, но 
> пик расширения ботнета наблюдается последние несколько месяцев (например, в первую неделю 
> апреля к ботнету было подключено около 3 тысяч новых узлов).

> Для распространения Mumblehard атакующие используют различные уязвимости, незакрытые 
>  в web-приложениях. Поражаются в основном web-серверы, на которых ненадлежащим образом 
> организован процесс установки обновлений. Само по себе Mumblehard включает только бэкдор 
> для организации удалённого управления и демон для рассылки спама, сочетающий в 
> себе функции прокси. Mumblehard обычно устанавливается в директории /tmp или /var/tmp 
> и вызывается через cron каждые 15 минут. Выявить Mumblehard можно по 
> наличию в crontab вызовов программ, подобных "/var/tmp/qCVwOWA". Для защиты помогает монтирование 
> /tmp с опцией noexec.

> Необычной особенностью Mumblehard является то, что он написан на языке Perl, но 
> распространяется в форме исполняемого файла в формате ELF с компактным распаковщиком 
> на языке ассемблера. Для скрытия Perl-кода от первичного изучения применяется простейшее 
> шифрование. ELF-файл оформлен таким образом, что может запускаться как в Linux, 
> так и на системах BSD.
> <center><img src="https://www.opennet.ru/opennews/pics_base/0_1430719618.png" style="border-style: 
> solid; border-color: #606060; border-width: 1px;max-width:100%;" title="" border=0></center>

> <center><a href="http://www.welivesecurity.com/wp-content/uploads/2015/04/overview.png"><img 
> src="https://www.opennet.ru/opennews/pics_base/0_1430718684.png" style="border-style: 
> solid; border-color: #606060; border-width: 1px;max-width:100%;" title="" border=0></a></center>

> URL: http://www.welivesecurity.com/2015/04/29/unboxing-linuxmumblehard-muttering-spam-servers/ 
 
> Новость: https://www.opennet.ru/opennews/art.shtml?num=42159

При общении не допускается: неуважительное отношение к собеседнику, хамство, унизительное обращение, ненормативная лексика, переход на личности, агрессивное поведение, обесценивание собеседника, провоцирование флейма голословными и заведомо ложными заявлениями. Не отвечайте на сообщения, явно нарушающие правила - удаляются не только сами нарушения, но и все ответы на них. Лог модерирования.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру