BACHO

hienphap

BR.vbbh dn23
BR.tuyendung
 

Video

vankien

CT01TWDoan

BR.khoinghiep

Bài ca thanh niên

BR.triannguoithay


BR.gopyxdd


 

Cảnh báo về mã độc nguy hiem MUMBLE HARD

Thứ năm, 27 Tháng 10 2016 15:38

Tên mã độc: Mumblehard (Muttering spam from your server)

Mức độ: Nghiêm trọng

Ảnh hưởng: Đến hệ điều hành Linux, FreeBSD và Windows

1. Thông tin về mã độc

Mumblehard là một họ mã độc hướng đến các máy chủ trên nền tảng Linux và BSD hoạt động ít nhất từ năm 2009. Mumblehard khi lây nhiễm trên máy chủ để lại backdoor và cho phép tin tặc kiểm soát máy chủ, ngoài ra nó còn tạo ra một hộp thư ảo (spam daemon) để thực hiện gửi một lượng lớn thư rác ra bên ngoài.

Mumblehard được kích hoạt vào khoảng từ năm 2009. Mẫu Mumblehard đầu tiên được tìm thấy trên Virus Total năm 2009 và Mumblehard có mối liên kết chặt chẽ với Yellsoft- một công ty kinh doanh trực tuyến các phần mềm có thể thực hiện việc gửi một lượng lớn các email.

Trong khoảng 7 tháng nghiên cứu và thu thập dữ liệu về Mumblehard, các nhà nghiên cứu của ESET đã thống kê có tới 8867 địa chỉ IP đã bị nhiễm Mumblehard và số địa chỉ IP bị nhiễm trong một ngày có thể lên đến 3292 địa chỉ.

Hình 1: Sơ đồ thống kê số lượng IP bị nhiễm mã độc theo ngày

 (Nguồn:http://www.welivesecurity.com)

Mã độc Mumblehard gồm 2 thành phần:

- Thành phần backdoor: là tập tin thực thi nằm ở thư mục tạm của hệ thống được lập lịch cứ chu kỳ 15 phút sẽ kết nối đến các máy chủ C&C để nhận lệnh.

- Thành phần Spammer: là một tiến trình nền (Daemon) không thường xuyên thực hiện chức năng gửi thư rác, khi chạy sẽ ẩn dưới các tên tiến trình httpd, mail hoặc init.

Hình 2: Hoạt động của thành phần backdoor và Spammer

Cả  2 thành phần này đều được viết bằng Perl, sau đó đóng gói trong thư viện ELF (Executable and Linkable Format).

Dưới đây là danh sách 10 địa chỉ IP, tên miền của máy chủ điều khiển tìm thấy khi phân tích các mẫu mã độc của mạng botnet này.

184.106.208.157
 194.54.81.163
 advseedpromoan.com
 50.28.24.79
 67.221.183.105
 seoratingonlyup.net
 advertise.com
 195.242.70.4
 pratioupstudios.org
 behance.net

         Với sự giúp đỡ của cảnh sát Ukraine, CysCentrum LLC và CertBund, các nhà nghiên cứu ESET đã có được thông tin về các máy chủ vào tháng 10 năm 2015. Và đến ngày 29 tháng 2 năm 2016, ESET đã  kiểm soát các máy chủ điều khiển mạng botnet Mumblehard. Tuy vậy thời điểm hiện tại vẫn ghi nhận các kết nối từ các máy chủ này đến các C&C Sinkhole, do vậy có thể khẳng định các mã độc vẫn đang còn tồn tại trên máy và vẫn kết nối đến máy chủ để đợi lệnh. Do hiện tại không xác định cách thức lây nhiễm vào máy vì vậy không thể đảm bảo các máy này không còn bị tin tặc kiểm soát.

         Hiện nay có khoảng hơn 30 địa chỉ IP ở Việt Nam bị lây nhiễm mã độc Mumblehard.

2. Hướng dẫn kiểm tra và xử lý nhanh mã độc

- Thành phần Backdoor: thường nằm trong thư mục /var/tmp hoặc /tmp

  • Tìm tiến trình được lập lịch trong cronjob.

$ crontab -l

*/15 * * * * /var/tmp/qCVwOWA >/dev/null 2>&1

Chú ý, nếu trên hệ thống có nhiều user cần phải kiểm tra với tất cả user. Mặc định Các các tập tin lập lịch của từng user nằm trong thư  mục /var/spool/cron/crontabs/

  • Loại bỏ cronjob và backdoor

$ crontab -e

$ rm -rf BackdoorFile

  • Ngắt tiến trình liên quan đến backdoor.

$Ps -ef | grep tmp

$ kill -9 PID

- Thành phần Spammer

- Thành phần Spammer chạy ẩn danh dưới tên http, mail, init nhưng dưới trình biên dịch Perl. Nên có thể tìm tiến trình như sau:

$ps -ef | grep -e ' httpd$' -e ' mail$' -e ' init$' | awk '{print $2}' | xargs -I '{}' ls -l '/proc/{}/exe' | grep perl | cut -d/ -f 3

- Kiểm tra xem tiến trình có thực hiện gửi mail spam không

lsof -n -i -p {pid} | grep :smtp

- Ngắt tiến trình

$ kill -9 PID

Tham khảo:

https://github.com/eset/malware-ioc/blob/master/mumblehard/README.adoc

https://blog.eset.ie/2016/04/08/mumblehard-takedown-ends-army-of-linux-servers-from-spamming/

http://www.welivesecurity.com/wp-content/uploads/2015/04/mumblehard.pdf

http://www.theinquirer.net/inquirer/news/2454055/mumblehard-eset-takes-down-linux-bothering-botnet

https://www.eset.com/int/about/newsroom/research/mumblehard-finally-taken-down-sending-no-more-spam/

VNCERT

Gửi bình luận

 

TỈNH ĐOÀN BÌNH THUẬN

Địa chỉ: 04 Lê Hồng Phong, Tp. Phan Thiết, tỉnh Bình Thuận

Điện thoại: 062.3822798 | Fax: 062.3822798

Email: tdtn@binhthuan.gov.vn | Website: http://www.tinhdoanbinhthuan.vn