开发者社区> 云栖大讲堂> 正文
阿里云
为了无法计算的价值
打开APP
阿里云APP内打开

Mumblehard:攻击Linux和FreeBSD的恶意软件

简介:
+关注继续查看

ESET公司的研究人员发现了一个恶意软件家族,其攻击目标是运行Linux和FreeBSD的操作系统。

这种恶意软件被称为“大声bb”(Mumblehard),其会帮助攻击者创造后门,以提供被攻击系统的控制权。根据ESET的说法,该恶意软件的历史至少可以追溯到2009年,并且内含一个用于发送垃圾短信的模块。

Mumblehard:攻击Linux和FreeBSD的恶意软件

这个恶意软件的组件基本上都是Prel脚本,这部分代码被加密封装在ELF二进制文件中。在某些情况下,这些Perl脚本会和另一个ELF可执行文件一起被Packer封装起来,类似于另一种恶意软件俄罗斯套娃。

ESET的研究者利用隧道技术研究了该恶意软件的后门模块,并收集了被感染服务器上的信息。在七个月的时间里,他们观察到“大声bb”查询的8867个独立的IP地址。在数量最高的一天,独立IP地址查询量达到了3292个。

这个恶意软件家族中包含两个组件:后门和骚扰保障。这两个组件都是用Perl写的,并用汇编语言写的Packer封装起来。使用汇编语言创建ELF二进制和混淆Perl源代码的方式显示了该恶意软件家族的复杂性,这高于一般恶意软件的平均水平。

对僵尸网络进行的监测表明,“大声bb”的主要目的似乎是通过受感染设备的合法IP地址发送垃圾信息。

研究人员发现垃圾邮件活动和一家名为Yellsoft的公司有所关联。这家公司销售一种名为DirectMailer的邮件群发软件。根据ESET的说法,它的样本中硬编码的幕后服务器IP地址均位于194.54.81.162到194.54.81.164之间。

如果检查接下来的两个IP地址,也就是194.54.81.165和194.54.81.166,就会发现这两个地址都指向Yellsoft的域名服务器。 而且,yellsoft.net的网页服务器就在194.54.81.166上。如果进一步检查最后的五个IP地址,也就是162~166,它们都会返回 相同的NS和SOA记录,尽管这些IP地址实际上属于rx-name.com。这些证据有力地表明,这五个IP地址都托管在同一台服务器上。

此外ESET还表示,DirectMailer的盗版版本会在受害设备上安装后门。另一个可能的注入向量是通过Joomla和Wordpress的漏洞实现的。

受害者应该在他们服务器上的所有用户间寻找未请求的Cronjob入口。

这是其后门使用的一种机制,用于每隔15分钟将自身激活一次。该后门通常安装在/tmp或/var/tmp目录中。将tmp目录改为noexec选项可以阻止后门开始运行。

Mumblehard:攻击Linux和FreeBSD的恶意软件


作者:Venvoo

来源:51CTO

版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。

相关文章
“大声bb”–攻击Linux和FreeBSD的恶意软件
本文讲的是 “大声bb”–攻击Linux和FreeBSD的恶意软件,ESET公司的研究人员发现了一个恶意软件家族,其攻击目标是运行Linux和FreeBSD的操作系统。
1065 0
十、Linux(CentOS7) 安装 Sentinel
1、下载Sentinel发布版本,地址https://github.com/alibaba/Sentinel/releases 2、将下载的jar包sentinel-dashboard-1.8.0.jar上传到Linux服务器,Sentinel 是一个标准的 Spring Boot 应用,以 Spring Boot 的方式运行 jar 包即可,执行启动命令 nohup java -Dserver.port=8086 -Dproject.name=sentinel-dashboard -jar sentinel-dashboard-1.8.0.jar >/dev/null &
151 0
linux安装规范之nginx
使用最新的stable版本:rpm包安装 http://nginx.org/en/download.html 配置文件存放于/etc/nginx/conf.d/ 
992 0
Linux中Samba详细安装【转】
转自:http://www.cnblogs.com/whiteyun/archive/2011/05/27/2059670.html 为了实现Windows主机与Linux服务器之间的资源共享,Linux操作系统提供了Samba服务,Samba服务为两种不同的操作系统架起了一座桥梁,使Linux系统和Windows系统之间能够实现互相通信,为广泛的Linux爱好者提供了极大方便。
843 0
+关注
云栖大讲堂
擅长前端领域,欢迎各位热爱前端的朋友加入我们( 钉钉群号:23351485)关注【前端那些事儿】云栖号,更多好文持续更新中!
3913
文章
1754
问答
文章排行榜
最热
最新
相关电子书
更多
低代码开发师(初级)实战教程
立即下载
阿里巴巴DevOps 最佳实践手册
立即下载
冬季实战营第三期:MySQL数据库进阶实战
立即下载