forum.opennet.ru

"Анализ Mumblehard, вредоносного ПО для Linux и FreeBSD"

Форум Разговоры, обсуждение новостей
Версия для распечатки	Пред. тема \| След. тема

Исходное сообщение

[ Отслеживать ]

Заметили полезную информацию ? Пожалуйста добавьте в FAQ на WIKI.

"Анализ Mumblehard, вредоносного ПО для Linux и FreeBSD"	+/–
Сообщение от opennews (ok), 04-Май-15, 09:12
Компания ESET опубликовала (http://www.welivesecurity.com/2015/04/29/unboxing-linuxmumbl.../) отчёт (PDF (http://www.welivesecurity.com/wp-content/uploads/2015/04/mum...)) с результатами анализа троянского ПО Mumblehard, внедряемого злоумышленниками на серверы под управлением Linux и FreeBSD, и используемого для построения ботнета, специализирующегося на рассылке спама. Сообщается, что в настоящее время зафиксировано около 8900 поражённых данным вредоносным ПО хостов. Активность прослеживается с 2009 года, но пик расширения ботнета наблюдается последние несколько месяцев (например, в первую неделю апреля к ботнету было подключено около 3 тысяч новых узлов). Для распространения Mumblehard атакующие используют различные уязвимости, незакрытые в web-приложениях. Поражаются в основном web-серверы, на которых ненадлежащим образом организован процесс установки обновлений. Само по себе Mumblehard включает только бэкдор для организации удалённого управления и демон для рассылки спама, сочетающий в себе функции прокси. Mumblehard обычно устанавливается в директории /tmp или /var/tmp и вызывается через cron каждые 15 минут. Выявить Mumblehard можно по наличию в crontab вызовов программ, подобных "/var/tmp/qCVwOWA". Для защиты помогает монтирование /tmp с опцией noexec. Необычной особенностью Mumblehard является то, что он написан на языке Perl, но распространяется в форме исполняемого файла в формате ELF с компактным распаковщиком на языке ассемблера. Для скрытия Perl-кода от первичного изучения применяется простейшее шифрование. ELF-файл оформлен таким образом, что может запускаться как в Linux, так и на системах BSD. <center><img src="http://www.opennet.me/opennews/pics_base/0_1430719618.png" style="border-style: solid; border-color: #606060; border-width: 1px;max-width:100%;" title="" border=0></center> <center><a href="http://www.welivesecurity.com/wp-content/uploads/2015/04/ove... src="http://www.opennet.me/opennews/pics_base/0_1430718684.png" style="border-style: solid; border-color: #606060; border-width: 1px;max-width:100%;" title="" border=0></a></center> URL: http://www.welivesecurity.com/2015/04/29/unboxing-linuxmumbl.../ Новость: http://www.opennet.me/opennews/art.shtml?num=42159
Ответить \| Правка \| Cообщить модератору

Оглавление

Анализ Mumblehard, вредоносного ПО для Linux и FreeBSD, opennews, 04-Май-15, 09:12 [смотреть все]

Бормотун Хотя нет -- hard всё же Бормотище, во Хорошее название Предлагаю ск, A.Stahl, 04-Май-15, 09:12 (1) //
- Бормотуха , systemd_anonymousd, 04-Май-15, 16:31 (61)
- Обормотище , Аноним, 04-Май-15, 21:06 (77)
- Обормот , Khariton, 04-Май-15, 23:19 (101)
Обновляйте свои сервера своевременно господа , Аноним, 04-Май-15, 09:12 (2) //
- И поставьте наш антивирус, ну по жаааалуиста , anonymouse, 04-Май-15, 09:30 (3) //
  - Планета буратин , Аноним, 04-Май-15, 09:57 (7)
Как раз меня недавно хакнули Google стал говорить что с моей машины рассылается, Zenitur, 04-Май-15, 10:52 (8) //
- Это вы с соседом Васей у прова за одним айпишником сидите У Васи заcpанная винд, Аноним, 04-Май-15, 21:53 (91)
- Может ты просто получил по наследству айпи какого-то овоща с маздайкой Хотя про, Аноним, 05-Май-15, 14:56 (109) //
  - Либо провайдер предоставляет услуги через NAT Но это всегда можно проверить, н, Аноним, 08-Май-15, 20:30 (140)
Антивирусы, да Толпа никчемных деньготребователей Клиенты поймали вирус-шифрова, Аноним, 04-Май-15, 11:45 (10) //
- есть, например, закон о персональных данных, требующий сертифицированное антивир, анус, 04-Май-15, 11:53 (12) //
  - а было бы тогда не плохо запускать этот антивирус где-нибудь скраешку в виртуаль, Xasd, 04-Май-15, 12:05 (16)
  - Вот только после обновления этого сертифицированного ПО оно, внезапно, перестаёт, plain5ence, 04-Май-15, 12:49 (35) //
    - Да это бага в законе Обновления должны выпускаться и сертифицироваться , Аноним, 06-Май-15, 13:59 (128)
      - Так и есть , Michael Shigorin, 06-Май-15, 14:57 (132)
        
        Добрый вечер Михаил Есть вопрос по поводу СПО в учреждениях Если установить на, сумашедший, 06-Май-15, 22:24 (135)
        
        Так спросили бы по официальным контактам - Если провести аттестацию -- возможно, Michael Shigorin, 07-Май-15, 09:27 (136)
  - Вымогатели заставляют покупать софт от очковтирателей Безопасность прет из всех, Аноним, 04-Май-15, 21:08 (78)
- ща прибегут анонимы и нальют тебе в уши, што ты лузер, и што надо было просто фр, Михрютка, 04-Май-15, 12:06 (19) //
  - А вот образцово-показательный пример впаривателя, который в рекламном буклетике , Аноним, 04-Май-15, 21:09 (79)
- Затем, что без них Вы ловили бы эту гадость намного, намного чаще , YetAnotherOnanym, 04-Май-15, 12:07 (20) //
  - не запускающийся троянчик в папке загрузки как страшно , Анонимус сапиенс, 04-Май-15, 12:21 (28)
  - Не несите чушь Не пользуюсь антивирусами уже 15 лет, волосы - шелковистые , азазайзер, 04-Май-15, 15:22 (55) //
    - Даже на Windows и DOS Если ответите да, заподозрю паричок на вас , Kroz, 04-Май-15, 15:57 (59)
      - Подозреваю в вас нуба, ибо на последних окошках чтобы подхватить вирус нужно отк, MaxMoshko, 04-Май-15, 17:26 (65)
        
        На последних окошках у тебя тоже антивируса нет , Аноним, 04-Май-15, 17:52 (68)
        Ну не знаю, у знакомых хомяков семерки и восьмерки все загажены черти-каким малв, Аноним, 04-Май-15, 21:11 (81)
        
        Вывод у знакомых хомяков семерки и восьмерки отключен мозг, очевидно же , anonimm, 05-Май-15, 09:55 (103)
        
        Нет, ну профессионал конечно и из гoвна дворец построит Но отбить дурной запах , Аноним, 05-Май-15, 14:48 (107)
        
        Легко из профиля пользователя можно запускать исполняемые файлы А дальше - как, Аноним, 04-Май-15, 21:57 (92)
        это типичное состояние пользователя окошек, точнее им же включать даже нечего , all_glory_to_the_hypnotoad, 04-Май-15, 23:02 (100)
        Так виндами никто кроме нубов и не пользуется - для существ с головным мозгом та, Аноним, 05-Май-15, 14:52 (108)
        
        Какой именно пункт EULA тебя не устраивает Отказ от ответственности есть во всех, клоун, 05-Май-15, 17:22 (119)
        
        В каком веке живешь Давно уж нет никаких наклеек , Valerkind, 06-Май-15, 13:19 (125)
    - Та же фигня А может просто по порнухе теперь реже лазаю , solomon243, 04-Май-15, 22:18 (98)
- По моему опыту самая надежная защита от вирусни - software policies и своевремен, Анонимус сапиенс, 04-Май-15, 12:20 (26) //
  - Я обычно ставлю бекап-боксы самба линукс снимки фс каждый день куда сливаю, Аноним, 04-Май-15, 13:15 (39) //
    - А подробнее , Анонимус сапиенс, 04-Май-15, 13:32 (44)
    - А доперло Ты вендо ПО используешь для залития бекапов на линукс сервер , Анонимус сапиенс, 04-Май-15, 13:42 (45)
      - Именно так Плюс мониторинг бекапов Если по какой-то причине не проходит - мыло, Аноним, 04-Май-15, 13:59 (49)
    - У меня тоже подобная схема реализована Linux btrfs в RAID1 samba, ежедневны, Аноним, 04-Май-15, 13:42 (46)
      - Это все круто, НО если у тебя разрушатся какие-то блоки, например, бэдсектора по, Аноним, 04-Май-15, 21:14 (82)
        
        Дак, рейд1 - зеркало Тоже не панацея, но вероятность факапа в два раза меньше , Аноним, 04-Май-15, 21:21 (90)
        
        Так raid тоже не замена бэкапа Если например блок питания пыхнет - оба харда мо, Аноним, 05-Май-15, 15:03 (111)
        
        Братцы, так RAID, backup и UPS друг другу не замена Ну и один бэкап -- не бэкап, Michael Shigorin, 06-Май-15, 13:30 (126)
    - Напомните, какой у вас период ротации бекапов Ну, через какое время, скажем, се, Kroz, 04-Май-15, 16:04 (60)
      - Ставь таймаут на рандом от пары дней до месяца, по любому угадаешь , Аноним, 04-Май-15, 21:15 (83)
        
        Не смешно Это называется концепция резервного копирования Она всегда есть в , клоун, 05-Май-15, 17:28 (120)
        
        Ох уж эти Масквичи За МКАД-ом про это ваше СЛА слышали 3 5 директора, и те в фи, count0krsk, 07-Май-15, 16:36 (137)
  - К слову, сейчас такая зараза в моде http forum drweb com index php showtopic , Аноним, 04-Май-15, 13:20 (40)
- Это действительно форменное безобразие Похоже, нужно что-то с этим делать, не м, plain5ence, 04-Май-15, 12:30 (31)
- Обычная практика АВ - пасти известные источники распространения и оперативно доб, z, 04-Май-15, 13:24 (41) //
  - Ну, скажем, если какая-то софтина массово читает файло, а затем для каждого вызы, Аноним, 04-Май-15, 14:05 (50) //
    - Для этого нужно, чтобы эмулятор кода АВ хотя-бы распаковал бинарь и проанализиро, z, 04-Май-15, 15:40 (56)
      - А причем-тут бинарь вируса Винда, вроде, позволяет антивирям перехватывать сист, Аноним, 04-Май-15, 21:19 (87)
        
        Еще один идиот с непомерным ЧСВ Читай выше что я написал Тоже мне, нобелевский, Аноним, 05-Май-15, 10:18 (104)
        В следующий раз шли сразу на тех кто так пишет Это признак невменяемости , Аноним, 05-Май-15, 10:23 (105)
        Бинарь вируса тут притом, что если не поставить ему флаг подозрительности - так , z, 05-Май-15, 11:28 (106)
    - Ничего что офисы бывают разные OpenOffice, LibreOffice, WPS Office, и другие , Аноним, 04-Май-15, 20:55 (76)
      - Дак поставить порог срабатывания, сделать теневую копию, подождать, если подозри, Аноним, 04-Май-15, 21:18 (85)
- Никак не оправдывая производителей антивирусов, за попытки втюхать свои программ, imak, 04-Май-15, 22:39 (99) //
  - Не путай, пожалуйста не может восстановить и не может восстановить бесплатно , клоун, 05-Май-15, 16:32 (118) //
    - Во-первых, не бесплатно -- за услугу типа страховка им по сути и платят Во-вто, Michael Shigorin, 05-Май-15, 19:23 (122)
- http habrahabr ru post 256573 Все правильно, если файл уже зашифрован - антиви, csdoc, 05-Май-15, 02:38 (102)
selinux уже скоро 15 лет, и он, что характерно, помогает что скажут в своё опра, Аноним из Сибири, 04-Май-15, 11:51 (11) //
- что их любимый пэпэхамойадминчик вордпресик панелька еще-кокой-нибудь-говнософти, Михрютка, 04-Май-15, 12:03 (15) //
  - выключить selinux и выставить везде 777 -D, Xasd, 04-Май-15, 12:06 (17) //
    - мне одна рыбка человеческим голосом рассказывала, что для нормальной работы ее г, Михрютка, 04-Май-15, 12:15 (23)
      - на мой взгдляд ещё и интересно то, что 666 уже хватило бы для того чтобы был бы , Xasd, 04-Май-15, 12:30 (32)
        
        а это потому что деплоилось копированием с макбучика через какой-то сфтп плугин, Михрютка, 04-Май-15, 12:39 (34)
        
        Ну так виндузоиды и макосники - прирожденные безопасники , Аноним, 04-Май-15, 21:16 (84)
        
        Это называется дать все права Удивительно, но даже вроде неглупые люди делаю, anonymous, 04-Май-15, 21:11 (80)
        
        Вот у меня домашний файловый сервер на базе Линукс Один единственный пользовате, клоун, 05-Май-15, 17:35 (121)
        
        Это пока Вы не фак-апнулись, и не в той панели файл-менеджера shift-del нажали , count0krsk, 07-Май-15, 18:10 (138)
    - Знал бы ты сколько в твой любимый дистр Линукса страниц оперативной памяти с пра, Аноним, 06-Май-15, 14:38 (130)
- SELinux - разработка АНБ, Штунц, 04-Май-15, 12:09 (22) //
  - Милосердие - поповское слово С , Михрютка, 04-Май-15, 12:20 (27)
  - Да Это так И , Аноним, 04-Май-15, 22:07 (93)
- Что это нечто настраиваемое через гланды, работающее через гланды и метровыми са, AlexYeCu, 04-Май-15, 15:51 (58)
- selinux - от АНБ и тяжело пишутся правила gradmin - хорошая альтернатива и самоо, Аноним, 06-Май-15, 14:20 (129) //
  - А сам комп вообще не включать , Аноним, 06-Май-15, 15:07 (133) //
    - У меня так всегда смонтировано, и home c опцией noexec никак разработке скрипто, Аноним, 06-Май-15, 15:20 (134)
так проверим сервера crontab -l -bash crontab command not found -, Xasd, 04-Май-15, 11:58 (13) //
- echo PATH, Аноним, 04-Май-15, 12:06 (18) //
  - code echo PATH usr local sbin usr local bin usr bin usr bin site_, Xasd, 04-Май-15, 12:08 (21) //
    - а нафига нужен системдэ-таймерс на серверах, где с задачами кронтаба прекрасно с, Михрютка, 04-Май-15, 12:19 (25)
      - тыг crontab это дополнительное ПО а systemd-timers -- системное основное - , Xasd, 04-Май-15, 12:23 (29)
        
        No manual entry for systemd-timers, имя., 04-Май-15, 13:29 (43)
        
        code man systemd timer code , Xasd, 04-Май-15, 13:52 (47)
        
        Кстати годная штука Пиндык крону, имхо, на моих машинах , Аноним, 04-Май-15, 21:19 (86)
        
        кому и кобыла невеста, Михрютка, 04-Май-15, 14:41 (54)
      - А теперь с ними будет справляться таймерс При том там очевидно как прописать, Аноним, 05-Май-15, 15:12 (114)
        
        если вышеотквоченная задача на sysv init системе для вас непонятна и непроста, н, Михрютка, 05-Май-15, 15:58 (115)
        
        sleep, нет Можно конечно написать свой демон, который вежливо подождёт до нужно, count0krsk, 07-Май-15, 18:19 (139)
    - В данном случае малвари, по большому счёту, плевать кто её будет запускать раз в, pkdr, 04-Май-15, 12:29 (30)
      - ну вот, пусть эти вирусоизобретатели -- обновят уже эти свои вирусы - а то пони, Xasd, 04-Май-15, 12:33 (33)
        
        Видимо они замшелые ретрограды и системд-хейтерыЭто стандартная проблема вирусов, pkdr, 04-Май-15, 14:06 (51)
        
        Ты не переживай, systemd изменит это к лучшему Почему иы думаешь антиврники вос, Аноним, 04-Май-15, 17:16 (63)
        
        Можно подумать, антивири когда-нибудь пиариться переставали Часто на ОпенНете но, Sluggard, 04-Май-15, 20:21 (75)
        
        Иногда этого может быть недостаточно и придется делать патчи , Аноним, 04-Май-15, 22:09 (94)
        
        Самим писать, ага Пора открывать багтрекеры для линуксовых вирусов уже И репози, Sluggard, 04-Май-15, 22:13 (97)
        
        Да, да, казалось бы, при чем тут Лужков , Аноним, 05-Май-15, 15:08 (113)
        
        Ничего, когда все переползут на systemd тянуть зависимостей нужно будет значител, Аноним, 04-Май-15, 15:42 (57)
        
        А что с собой сейчас надо переть Ядро с кучей системных вызовов - уже есть Ост, Аноним, 04-Май-15, 21:20 (88)
- Учись, студент , z, 04-Май-15, 13:26 (42) //
  - Поздравляем Вы в безопасности , Аноним, 04-Май-15, 22:11 (95)
На первой картинке - скриншоты какого-то отладчика , Аноним, 04-Май-15, 12:57 (36) //
- скорее всего IDA какая-нибудь проприетарная , Xasd, 04-Май-15, 13:11 (37)
- Да , Anonim, 04-Май-15, 13:14 (38)
эй, а где OpenBSD , бедный буратино, 04-Май-15, 13:57 (48) //
- а самому порт написать слабо , Михрютка, 04-Май-15, 14:34 (52)
- Так он же не ломается , ПолковникВасечкин, 04-Май-15, 17:17 (64)
- А под него тебе придется портировать самому , Аноним, 04-Май-15, 21:21 (89)
класс , Аноним, 04-Май-15, 17:03 (62) //
- Антивирусы анализируют части кода пытаются выполнить файл в песочнице чтобы по, клоун, 05-Май-15, 16:17 (117)
люди, которые пишут крипто вирусы тоже пользуются антивирусами и проверяют свои , ALex_hha, 05-Май-15, 14:59 (110) //
- Ну так на линухе закинуть вирь в репы - сложное начинание И софт мимо репов ста, Аноним, 05-Май-15, 15:06 (112)
Полагаю, что подцепил на ноутбуке эту заразу При подключении к интернету исходя, Игорь, 06-Май-15, 13:36 (127) //
- Чтоб желудок не устал - принимайте uninstall, z, 06-Май-15, 14:40 (131)

Форумы | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру