Linuxos rendszerekből épített botnetet egy trójai

Egy olyan trójai programot lepleztek le biztonsági kutatók, amely már legalább öt éve szedte az áldozatait a linuxos számítógépek körében.
 

Nem túl gyakori, amikor arról kell beszámolnunk, hogy Linux alapú kiszolgálók estek áldozatául kártékony programoknak. Természetesen elfordulnak ilyen esetek is, de a Windows-os kártevők által okozott problémákhoz képest elenyésző számban. Amikor azonban közbe-közbe felüti a fejét egy-egy Linux kompatibilis vírus, akkor az jól rávilágít arra, hogy e rendszerek esetében sem célszerű félvállról venni a védekezést. Különösen nem akkor, amikor egy olyan horderejű trójai csap le, mint amilyen az ESET kutatói által leleplezett, Mumblehard nevű kártevő.
 
A Mumblehard legfontosabb jellemzője, hogy olyan számítógépeket, elsősorban szervereket próbál megfertőzni, amelyeket aztán kéretlen elektronikus levelek küldözgetésére és egy botnet kiépítésére használhat fel. Maga a kártevő két fontosabb összetevőből épül fel. Az egyik egy hátsó kapu létrehozásáért felel, míg a másik spamelésben jeleskedik. Amikor rákérül egy rendszerre, akkor rögtön kapcsolódik különböző vezérlőszerverekhez, és kétirányú kommunikáció révén válik szabályozhatóvá a működése.


Forrás: ESET
 
Az ESET szakértői szerint a Mumblehard az átlagosnál kifinomultabb technikákat alkalmaz, aminek egyik nemkívánatos hozadéka, hogy legalább öt éven keresztül teljesen észrevétlen tudott maradni. Alapvetően Perl segítségével készült, de assemblyben íródott komponensei is vannak.
 
A Mumblehard botnet évekre visszamenő aktivitását, illetve kiterjedését nehéz megbecsülni, de az biztos, hogy a biztonsági cég kutatói eddig több mint 8500 egyedi IP-címet azonosítottak, amelyek mögött olyan szerverek voltak, amikre a károkozó rákerült. A kiberbűnözőknek tehát legalább ennyi rendszer állt rendelkezésükre ahhoz, hogy a reputációs, hírnévalapú védelmi technikák kijátszásával tudják terjeszteni a kéretlen küldeményeiket.
 
Védekezési lehetőségek

A Mumblehard utáni keresgélés során érdemes a Linux alapú számítógépeken megvizsgálni az ütemezett (cron) feladatok listáját minden felhasználó vonatkozásában. Ide azért kerül be a károkozó bejegyzése, mert a hátsó kaput 15 percenként aktiválja. A hozzá tartozó fájlok pedig általában a /tmp vagy a /var/tmp könyvtárakba kerülnek be. Ezért ezeket a mappákat érdemes átvizsgálni, szükség esetén kiüríteni vagy akár noexec opcióval csatolni.
 
  1. 3

    A Google ChromeOS két fontos biztonsági javítást kapott.

  2. 4

    Elérhetővé vált a Google Chrome webböngésző legújabb biztonsági frissítése.

  3. 3

    Az IBM biztonsági frissítéseket adott ki a Qradar SIEM megoldásához.

  4. 3

    A cURL fejlesztői négy biztonsági hibáról számoltak be.

  5. 4

    Az Apple egy veszélyes biztonsági hibát javított az iOS és iPadOS operációs rendszerei kapcsán.

  6. 4

    A macOS operációs rendszerhez egy fontos biztonsági frissítés vált telepíthető.

  7. 4

    A Microsoft ezúttal nyolc biztonsági rést foltozott be az Edge webböngészőben.

  8. 4

    A Mozilla fejlesztői kritikus biztonsági hibákat szüntettek meg a Firefoxban.

  9. 4

    A IBM Secure Proxy-hoz két tucat biztonsági frissítés vált elérhetővé.

  10. 3

    A Zulip Serverhez egy biztonsági hibajavítás vált elérhetővé.

Partnerhírek
Amikor a gyerekünk hangján követelnek tőlünk pénzt

Minden szülő legrosszabb rémálma felvenni egy ismeretlen számról érkező hívást, és azt hallani, hogy a gyermeke segítségért kiált.

Romantika helyett átverés Valentin-napon?

Az online társkeresés elterjedésével alapjaiban változott meg az emberek közötti kapcsolatteremtés.

hirdetés
Közösség