Mumblehard a fost înlăturat – Stopând mii de servere Linux din a trimite mesaje spam


La un an de la lansarea analizei tehnice a botnet-ului Linux Mumblehard, acest tip de malware nu mai este activ. ESET în colaborare cu Poliția Cibernetică din Ucraina și Cys Centrum LLC au înlăturat botnet-ul Mumblehard, oprind toate activităților lor de tip spam, din 29 februarie.

ESET operează un server de tip “sinkhole” pentru toate componentele Mumblehard cunoscute. Din datele obținute, CERT-Bund are grijă de notificarea părților afectate din întreaga lume prin intermediul canalelor naționale CERT.

Publicație ulterioară

Cercetătorii ESET au văzut o reacție din partea operatorilor la o lună după ce a fost publicată lucrarea noastră. În raport am menționat că am înregistrat un domeniu care funcționează ca un server C & C pentru componenta backdoor, pentru a estima mărimea și distribuția botnet. Autorul malware-ului a decis să elimine domeniile care nu sunt necesare și adresele IP din listă și să le păstreze numai pe cele funcționale, care se află sub controlul atacatorului.

1-backdoor_diff

Figura 1: Diferența dintre codul Tidied Perl al Mumblehard backdoor înainte și imediat după publicarea analizei tehnice ESET

ESET a văzut pentru prima dată versiunea actualizată, în data de 24 mai. Această informație a apărut pe VirusTotal în ziua următoare.

Boții nu au fost actualizați toți dintr-o dată. Serverul nostru a văzut un prim lot de aproximativ 500 de boți actualizați pe 25 mai, iar restul au primit actualizarea o lună mai târziu, pe 26 iunie.

2-sinkhole_stats_1

Figura 2: Statisticile serverului Mumblehard sinkhole după publicare

Cu o singură adresă IP care acționează ca server C & C pentru backdoor-ul Mumblehard și nici un mecanism de rezervă, o preluare a adresei IP ar fi suficientă pentru a opri activitățile rău intenționate ale acestui botnet. Am decis să luăm măsuri și să contactăm autoritățile competente pentru a face lucrurile să se întâmple.

Înlăturarea serverului C & C

Cu ajutorul Poliției Cibernetice din Ucraina și Cys Centrum LLC, am fost capabili să obținem informații de la serverul C & C în toamna anului 2015. Analiza criminalistică a arătat că cele mai multe dintre ipotezele noastre inițiale cu privire la mărimea și scopul botnet-ului au fost corecte. Activitățile de tip spam au fost de asemenea preocuparea lor principală. Am găsit, de asemenea, o mulțime de panouri de control diferite, pentru a ușura administrarea botnet-ului.

La fel ca alte componente dăunătoare Mumblehard, panoul de control utiliza limbajul de programare Perl.

3-backdoor_panel

Figura 3: Panoul de control utilizat pentru comenzile de tip push pentru Mumblehard backdoor

4-spammer_panel

Figura 4: Panoul de control care arată statusul spam-ului

O întrebare deschisă în raportul nostru inițial a fost vectorul de infecție Mumblehard. Am știut că unele dintre victime au fost compromise din cauza unpatched CMS, cum ar fi Wordpress sau Joobla sau unul dintre plug-in-ul lor. Analizând datele de server C & C, am descoperit că prima compromitere nu părea să fie făcută din acel server special. Scripturile pe care le-am găsit au fost doar pentru a fi rulate pe shell-uri PHP, deja instalate. Probabil că atacatorii le-au cumpărat pe acestea de la o altă grupare.

5-push_command

Figura 5: Panoul de control pentru comenzile de tip push către o listă de shell-uri PHP

Un alt lucru interesant despre funcționarea lor este delistarea automată de la Spamhaus’ Composite Blocking List (CBL). A existat un scenariu de monitorizare în mod automat a adreselor IP ale tuturor dispozitivelor infectate. În cazul în care unul se dovedește a fi pe lista neagră, scriptul a solicitat ca adresa IP pentru a fi delistată. Aceste tipuri de cereri sunt protejate cu CAPTCHA pentru a evita automatizarea, dar aceștia au folosit tehnici OCR sau alte servicii externe pentru a înlătura protecția.

6-cbl_mamanger

Figura 6 Statusul unei adrese IP din panoul de control după ce este delistat din CBL

Toate acțiunile care au solicitat conexiunea cu un server outbound, cum ar fi rularea comenzilor în shell-uri PHP, delistarea CBL, etc. au folosit serverul infectat. Caracteristica proxy deschisă de spam de tip daemon Mumblehard, care asculta portul TCP 39331, a fost folosită pentru a masca sursa originală de interogare. Panoul de verificare a disponibilității tuturor proxy-urilor a prezentat victime în 63 de țări diferite.

7-proxy_panel

Figura 7: Panoul care prezintă statusul de verificare deschisă proxy și situația diferitelor țări

Ultimele statistici din partea "sinkhole"

Noi am colectat date din “sinkhole” în cursul lunii martie. Acestea au arătat că aproape 4.000 de sisteme Linux au fost compromise la sfârșitul lunii februarie. Este o ușoară scădere.

CERT-Bund a început recent notificarea organizațiilor infectate. Sperăm să vedem o scădere mai rapidă în zilele următoare.

8-sinkhole_stats_2

Figura 8: Statisticile din partea noului nostru server “sinkhole”

Remedieri

Dacă primiți o notificare prin care sunteți anunțat că serverul dvs. este infectat, urmăriți indicators of compromise Github repository, pentru a avea mai multe detalii cu privire la modul de identificare și de eliminare a Mumblehard de pe sistemul dumneavoastră.

Pentru a evita infecțiile viitoare, este esențial ca aplicația web găzduită pe un server să fie actualizată (cu tot cu plugin-uri) și să vă asigurați că aveți parole puternice pe conturile de administrare.

Concluzie

S-au depus multe eforturi din partea tuturor părților pentru a face această înlăturare posibilă. Colaborarea cu organele juridice și entitățile externe a fost crucială pentru a face această operațiune un succes. ESET dorește să le mulțumească: Poliției Cibernetice din Ucraina, Cys Centrum LLC și CERT-Bund. Suntem mândri că eforturile noastre fac din internet un loc mai sigur. S-ar putea să nu fie cea mai răspândită, cea mai periculoasă sau cea mai sofisticată amenințare botnet, dar este încă un pas în direcția corectă și arată că cercetătorii de securitate care lucrează cu alte entități pot avea un impact pentru reducerea activităților criminale pe Internet.

Nu am văzut deocamdată alte variante ale codului malware Mumblehard sau orice alte activități din acest grup, de la înlăturare până acum.

 

MARC-ETIENNE M.LÉVEILLÉ
CORESPONDENT INDEPENDENT

Georgiana April 7, 2016

Lasa un comentariu