BACHO

hienphap

BR.vbbh dn23
BR.tuyendung
 

Video

vankien

CT01TWDoan

BR.khoinghiep

Bài ca thanh niên

BR.triannguoithay


BR.gopyxdd


 

Cảnh báo về mã độc nguy hiem MUMBLE HARD

Thứ năm, 27 Tháng 10 2016 15:38

Tên mã độc: Mumblehard (Muttering spam from your server)

Mức độ: Nghiêm trọng

Ảnh hưởng: Đến hệ điều hành Linux, FreeBSD và Windows

1. Thông tin về mã độc

Mumblehard là một họ mã độc hướng đến các máy chủ trên nền tảng Linux và BSD hoạt động ít nhất từ năm 2009. Mumblehard khi lây nhiễm trên máy chủ để lại backdoor và cho phép tin tặc kiểm soát máy chủ, ngoài ra nó còn tạo ra một hộp thư ảo (spam daemon) để thực hiện gửi một lượng lớn thư rác ra bên ngoài.

Mumblehard được kích hoạt vào khoảng từ năm 2009. Mẫu Mumblehard đầu tiên được tìm thấy trên Virus Total năm 2009 và Mumblehard có mối liên kết chặt chẽ với Yellsoft- một công ty kinh doanh trực tuyến các phần mềm có thể thực hiện việc gửi một lượng lớn các email.

Trong khoảng 7 tháng nghiên cứu và thu thập dữ liệu về Mumblehard, các nhà nghiên cứu của ESET đã thống kê có tới 8867 địa chỉ IP đã bị nhiễm Mumblehard và số địa chỉ IP bị nhiễm trong một ngày có thể lên đến 3292 địa chỉ.

Hình 1: Sơ đồ thống kê số lượng IP bị nhiễm mã độc theo ngày

 (Nguồn:http://www.welivesecurity.com)

Mã độc Mumblehard gồm 2 thành phần:

- Thành phần backdoor: là tập tin thực thi nằm ở thư mục tạm của hệ thống được lập lịch cứ chu kỳ 15 phút sẽ kết nối đến các máy chủ C&C để nhận lệnh.

- Thành phần Spammer: là một tiến trình nền (Daemon) không thường xuyên thực hiện chức năng gửi thư rác, khi chạy sẽ ẩn dưới các tên tiến trình httpd, mail hoặc init.

Hình 2: Hoạt động của thành phần backdoor và Spammer

Cả  2 thành phần này đều được viết bằng Perl, sau đó đóng gói trong thư viện ELF (Executable and Linkable Format).

Dưới đây là danh sách 10 địa chỉ IP, tên miền của máy chủ điều khiển tìm thấy khi phân tích các mẫu mã độc của mạng botnet này.

184.106.208.157
 194.54.81.163
 advseedpromoan.com
 50.28.24.79
 67.221.183.105
 seoratingonlyup.net
 advertise.com
 195.242.70.4
 pratioupstudios.org
 behance.net

         Với sự giúp đỡ của cảnh sát Ukraine, CysCentrum LLC và CertBund, các nhà nghiên cứu ESET đã có được thông tin về các máy chủ vào tháng 10 năm 2015. Và đến ngày 29 tháng 2 năm 2016, ESET đã  kiểm soát các máy chủ điều khiển mạng botnet Mumblehard. Tuy vậy thời điểm hiện tại vẫn ghi nhận các kết nối từ các máy chủ này đến các C&C Sinkhole, do vậy có thể khẳng định các mã độc vẫn đang còn tồn tại trên máy và vẫn kết nối đến máy chủ để đợi lệnh. Do hiện tại không xác định cách thức lây nhiễm vào máy vì vậy không thể đảm bảo các máy này không còn bị tin tặc kiểm soát.

         Hiện nay có khoảng hơn 30 địa chỉ IP ở Việt Nam bị lây nhiễm mã độc Mumblehard.

2. Hướng dẫn kiểm tra và xử lý nhanh mã độc

- Thành phần Backdoor: thường nằm trong thư mục /var/tmp hoặc /tmp

  • Tìm tiến trình được lập lịch trong cronjob.

$ crontab -l

*/15 * * * * /var/tmp/qCVwOWA >/dev/null 2>&1

Chú ý, nếu trên hệ thống có nhiều user cần phải kiểm tra với tất cả user. Mặc định Các các tập tin lập lịch của từng user nằm trong thư  mục /var/spool/cron/crontabs/

  • Loại bỏ cronjob và backdoor

$ crontab -e

$ rm -rf BackdoorFile

  • Ngắt tiến trình liên quan đến backdoor.

$Ps -ef | grep tmp

$ kill -9 PID

- Thành phần Spammer

- Thành phần Spammer chạy ẩn danh dưới tên http, mail, init nhưng dưới trình biên dịch Perl. Nên có thể tìm tiến trình như sau:

$ps -ef | grep -e ' httpd$' -e ' mail$' -e ' init$' | awk '{print $2}' | xargs -I '{}' ls -l '/proc/{}/exe' | grep perl | cut -d/ -f 3

- Kiểm tra xem tiến trình có thực hiện gửi mail spam không

lsof -n -i -p {pid} | grep :smtp

- Ngắt tiến trình

$ kill -9 PID

Tham khảo:

https://github.com/eset/malware-ioc/blob/master/mumblehard/README.adoc

https://blog.eset.ie/2016/04/08/mumblehard-takedown-ends-army-of-linux-servers-from-spamming/

http://www.welivesecurity.com/wp-content/uploads/2015/04/mumblehard.pdf

http://www.theinquirer.net/inquirer/news/2454055/mumblehard-eset-takes-down-linux-bothering-botnet

https://www.eset.com/int/about/newsroom/research/mumblehard-finally-taken-down-sending-no-more-spam/

VNCERT

3 comments

  • Comment Link Breana Sutkus Thứ năm, 16 Tháng 3 2017 06:03 posted by Breana Sutkus

    Ein geeigneter Fellsattel zeichnet sich vor allem insofern aus, dass er ähnlich gut für den Gaul wie für den Reiter sein kann. Dies muss immer der ausschlaggebende Punkt bei dem Kauf des Sattels sein. Nun könnte man ins Detail gehen und exakte Merkmale der einzelnen Varianten beachten. Logischerweise spielt auch an dieser Stelle das Alter eine entscheidende Rolle. Für Kinder eignen sich speziell anti-rutsch Sattel. Bei Erwachsenen könnte jener Punkt fast außer Acht gelassen werden. Gleich maßgeblich ist natürlich der Komfort des Fellsattels. Jetzt bietet sich ganz stark Lammfell an. Der Stoff oder dieses Material ist exorbitant weich und gleichzeitig schonend fürs Pferd. Der Fellsattel aus Lammfell ist möglicherweise die beste Option die ein Reiter haben kann. Jedoch liegt dieser Fellsattel auch in Sachen Preis immens höher als Alternativen.

  • Comment Link oceanside brewpub Thứ ba, 14 Tháng 3 2017 22:20 posted by oceanside brewpub

    In Onslaught 4, they had 21 year-old, super bantamweight Benjamin Briceno (1-1-0) of San Leandro,
    CA taking on 19 year-old Mario Cuin of Temecula, CA who was simply producing his pro-debut.

  • Comment Link Waldo Rox Chủ nhật, 12 Tháng 3 2017 21:27 posted by Waldo Rox

    Jetzt bietet sich insbesondere Lammfell an. Dieser Stoff oder das Fell ist ungemein weich und gleichzeitig schonend zum Pferd.

Leave a comment

Make sure you enter the (*) required information where indicated. HTML code is not allowed.

 

TỈNH ĐOÀN BÌNH THUẬN

Địa chỉ: 04 Lê Hồng Phong, Tp. Phan Thiết, tỉnh Bình Thuận

Điện thoại: 062.3822798 | Fax: 062.3822798

Email: tdtn@binhthuan.gov.vn | Website: http://www.tinhdoanbinhthuan.vn