精品国产一级在线观看,国产成人综合久久精品亚洲,免费一级欧美大片在线观看

Mumblehard:攻擊Linux和FreeBSD的惡意軟件

責任編輯:editor005

作者:Venvoo

2015-05-04 13:36:02

摘自:安全牛

ESET公司的研究人員發(fā)現了一個惡意軟件家族,其攻擊目標是運行Linux和FreeBSD的操作系統(tǒng)。對僵尸網絡進行的監(jiān)測表明,“大聲bb”的主要目的似乎是通過受感染設備的合法IP地址發(fā)送垃圾信息。

ESET公司的研究人員發(fā)現了一個惡意軟件家族,其攻擊目標是運行Linux和FreeBSD的操作系統(tǒng)。

這種惡意軟件被稱為“大聲bb”(Mumblehard),其會幫助攻擊者創(chuàng)造后門,以提供被攻擊系統(tǒng)的控制權。根據ESET的說法,該惡意軟件的歷史至少可以追溯到2009年,并且內含一個用于發(fā)送垃圾短信的模塊。

Mumblehard:攻擊Linux和FreeBSD的惡意軟件

這個惡意軟件的組件基本上都是Prel腳本,這部分代碼被加密封裝在ELF二進制文件中。在某些情況下,這些Perl腳本會和另一個ELF可執(zhí)行文件一起被Packer封裝起來,類似于另一種惡意軟件俄羅斯套娃。

ESET的研究者利用隧道技術研究了該惡意軟件的后門模塊,并收集了被感染服務器上的信息。在七個月的時間里,他們觀察到“大聲bb”查詢的8867個獨立的IP地址。在數量最高的一天,獨立IP地址查詢量達到了3292個。

這個惡意軟件家族中包含兩個組件:后門和騷擾保障。這兩個組件都是用Perl寫的,并用匯編語言寫的Packer封裝起來。使用匯編語言創(chuàng)建ELF二進制和混淆Perl源代碼的方式顯示了該惡意軟件家族的復雜性,這高于一般惡意軟件的平均水平。

對僵尸網絡進行的監(jiān)測表明,“大聲bb”的主要目的似乎是通過受感染設備的合法IP地址發(fā)送垃圾信息。

研究人員發(fā)現垃圾郵件活動和一家名為Yellsoft的公司有所關聯。這家公司銷售一種名為DirectMailer的郵件群發(fā)軟件。根據ESET的說法,它的樣本中硬編碼的幕后服務器IP地址均位于194.54.81.162到194.54.81.164之間。

如果檢查接下來的兩個IP地址,也就是194.54.81.165和194.54.81.166,就會發(fā)現這兩個地址都指向Yellsoft的域名服務器。 而且,yellsoft.net的網頁服務器就在194.54.81.166上。如果進一步檢查最后的五個IP地址,也就是162~166,它們都會返回 相同的NS和SOA記錄,盡管這些IP地址實際上屬于rx-name.com。這些證據有力地表明,這五個IP地址都托管在同一臺服務器上。

此外ESET還表示,DirectMailer的盜版版本會在受害設備上安裝后門。另一個可能的注入向量是通過Joomla和Wordpress的漏洞實現的。

受害者應該在他們服務器上的所有用戶間尋找未請求的Cronjob入口。

這是其后門使用的一種機制,用于每隔15分鐘將自身激活一次。該后門通常安裝在/tmp或/var/tmp目錄中。將tmp目錄改為noexec選項可以阻止后門開始運行。

Mumblehard:攻擊Linux和FreeBSD的惡意軟件

  原文地址:http://www.aqniu.com/threat-alert/7576.html

鏈接已復制,快去分享吧

企業(yè)網版權所有?2010-2024 京ICP備09108050號-6京公網安備 11010502049343號

  • <menuitem id="jw4sk"></menuitem>

    1. <form id="jw4sk"><tbody id="jw4sk"><dfn id="jw4sk"></dfn></tbody></form>
      主站蜘蛛池模板: 拜城县| 浑源县| 彰武县| 湖北省| 石景山区| 霍城县| 金华市| 西贡区| 庆阳市| 进贤县| 锡林浩特市| 兴国县| 富宁县| 漳浦县| 恩平市| 福鼎市| 麻城市| 蒙阴县| 永康市| 诏安县| 肇东市| 长白| 靖西县| 香港 | 定远县| 桃园市| 舟曲县| 美姑县| 思南县| 平远县| 江山市| 屏南县| 蓬安县| 偏关县| 中江县| 曲麻莱县| 虎林市| 边坝县| 汝州市| 广安市| 方山县|