Компания ESET опубликовала (http://www.welivesecurity.com/2015/04/29/unboxing-linuxmumbl.../) отчёт
(PDF (http://www.welivesecurity.com/wp-content/uploads/2015/04/mum...)) с результатами анализа троянского ПО Mumblehard, внедряемого злоумышленниками на серверы под управлением Linux и FreeBSD, и используемого для построения ботнета, специализирующегося на рассылке спама. Сообщается, что в настоящее время зафиксировано около 8900 поражённых данным вредоносным ПО хостов. Активность прослеживается с 2009 года, но пик расширения ботнета наблюдается последние несколько месяцев (например, в первую неделю апреля к ботнету было подключено около 3 тысяч новых узлов).
Для распространения Mumblehard атакующие используют различные уязвимости, незакрытые в web-приложениях. Поражаются в основном web-серверы, на которых ненадлежащим образом организован процесс установки обновлений. Само по себе Mumblehard включает только бэкдор для организации удалённого управления и демон для рассылки спама, сочетающий в себе функции прокси. Mumblehard обычно устанавливается в директории /tmp или /var/tmp и вызывается через cron каждые 15 минут. Выявить Mumblehard можно по наличию в crontab вызовов программ, подобных "/var/tmp/qCVwOWA". Для защиты помогает монтирование /tmp с опцией noexec.
Необычной особенностью Mumblehard является то, что он написан на языке Perl, но распространяется в форме исполняемого файла в формате ELF с компактным распаковщиком на языке ассемблера. Для скрытия Perl-кода от первичного изучения применяется простейшее шифрование. ELF-файл оформлен таким образом, что может запускаться как в Linux, так и на системах BSD.
<center><img src="https://www.opennet.ru/opennews/pics_base/0_1430719618.png" style="border-style: solid; border-color: #606060; border-width: 1px;max-width:100%;" title="" border=0></center>
<center><a href="http://www.welivesecurity.com/wp-content/uploads/2015/04/ove... src="https://www.opennet.ru/opennews/pics_base/0_1430718684.png" style="border-style: solid; border-color: #606060; border-width: 1px;max-width:100%;" title="" border=0></a></center>
URL: http://www.welivesecurity.com/2015/04/29/unboxing-linuxmumbl.../
Новость: https://www.opennet.ru/opennews/art.shtml?num=42159