同创娱乐 > 创新文化 > 垃圾邮件攻击恶意软件感染数千台Linux和FreeBSD服务器

垃圾邮件攻击恶意软件感染数千台Linux和FreeBSD服务器

2018-06-20

研究人员周三表示,在过去7个月里,运行Linux和FreeBSD操作系统的数千台计算机被复杂的恶意软件感染,这些恶意软件暗中使它们成为一个利用垃圾邮件攻击互联网的叛离网络的一部分。恶意软件可能在已知存在的五年内感染了更多的机器。根据反病毒提供商Eset的研究人员发表的长达23页的报告,进一步准备10,000台受到恶意软件攻击的Linux服务器,这些恶意软件服务于垃圾邮件海啸,并利用被所谓的munblard恶意软件感染的机器运行网站。在他们监控其中一个指挥和控制信道的七个月中,8,867个唯一的IP地址连接到它,其中3000个在过去三周加入。这一发现让人想起了Windigo,这是一个独立的垃圾邮件僵尸网络,由Eset 14个月前发现的1万台Linux服务器组成。

这个含糊不清的恶意软件是经验丰富、技术高超的程序员的心血结晶。它包括后门和垃圾邮件守护程序,后者是发送大量垃圾邮件的幕后过程。这两个主要组件是用Perl编写的,它们在用汇编语言编写的自定义打包程序中被混淆,汇编语言是一种低级编程语言,与运行它的计算机硬件的本机机器代码紧密对应。有些Perl脚本包含一个单独的可执行文件,它与以俄罗斯嵌套娃娃的方式排列的基于程序集的打包程序相同。结果是一种非常隐蔽的感染,导致生产服务器发送垃圾邮件,并可能服务于其他邪恶目的。Eset研究人员写道:

越来越复杂针对Linux和BSD服务器的恶意软件变得越来越复杂。作者使用自定义打包器隐藏Perl源代码的事实有些复杂。不过,它肯定没有我们在2014年记录的Windigo行动那么复杂。尽管如此,令人担忧的是,munblard holderators已经活跃多年,没有中断。

研究人员发现有证据表明,munblard可能与销售DirecMailer的yelsoft有联系,DirecMailer是基于Perl发送大量电子邮件的软件。耶洛夫特和一些含糊不清的硬C & C服务器的IP地址块共享相同的范围。此外,盗版的DirecMailer还悄悄地安装了munblehard后门。盗版拷贝还会被mubblard恶意组件使用的同一打包程序混淆。

Eset研究人员发现,一名系统管理员联系到一台因发送垃圾邮件而被列入公安黑名单的服务器后,munblard很难找到。研究人员发现并分析了导致服务器连接到不同SMTP服务器并发送垃圾邮件的过程。研究人员随后将该行为链接到位于服务器/ tmp目录中的可执行文件。

2009年,一个版本的munblard垃圾邮件组件被上传到病毒总量在线恶意软件检查服务,这表明垃圾邮件程序已经存在了五年多。研究人员能够通过每15分钟注册一个域名来监控僵尸网络,该域名会对被硬病毒感染的机器进行模糊查询。

Eset研究人员还不确定mubblard是如何安装的。根据他们对受感染服务器的分析,他们怀疑恶意软件可能通过利用Joomla和WordPress内容管理系统中的漏洞来控制。他们的另一个理论是感染是安装盗版DirecMailer程序的结果。所观察到的近9000个IP地址Eset不能与被mubblard感染的机器数量直接相关,因为在某些情况下,多个服务器可能共享一个地址,而在另一些情况下,单个服务器可能放弃旧地址并使用新地址。不过,这个数字有力地表明,在Eset监测恶意软件的7个月中,有数千台机器受到了影响。

想要检查服务器是否有munberhard感染的管理员应该寻找无法解释的守护程序。恶意软件添加的这些所谓cronjobs激活后门,使其每小时以精确的15分钟增量查询C & C服务器4次。后门通常位于/ tmp或/ var / tmp文件夹中。可以通过使用noexec选项装载目录来停用后门。

列出epSos的图像。de

Copyright © 2017 同创娱乐 版权所有