本文讲的是 “大声bb”–攻击Linux和FreeBSD的恶意软件,ESET公司的研究人员发现了一个恶意软件家族,其攻击目标是运行Linux和FreeBSD的操作系统。
这种恶意软件被称为“大声bb”(Mumblehard),其会帮助攻击者创造后门,以提供被攻击系统的控制权。根据ESET的说法,该恶意软件的历史至少可以追溯到2009年,并且内含一个用于发送垃圾短信的模块。
这个恶意软件的组件基本上都是Prel脚本,这部分代码被加密封装在ELF二进制文件中。在某些情况下,这些Perl脚本会和另一个ELF可执行文件一起被Packer封装起来,类似于另一种恶意软件俄罗斯套娃。
ESET的研究者利用隧道技术研究了该恶意软件的后门模块,并收集了被感染服务器上的信息。在七个月的时间里,他们观察到“大声bb”查询的8867个独立的IP地址。在数量最高的一天,独立IP地址查询量达到了3292个。
这个恶意软件家族中包含两个组件:后门和骚扰保障。这两个组件都是用Perl写的,并用汇编语言写的Packer封装起来。使用汇编语言创建ELF二进制和混淆Perl源代码的方式显示了该恶意软件家族的复杂性,这高于一般恶意软件的平均水平。
对僵尸网络进行的监测表明,“大声bb”的主要目的似乎是通过受感染设备的合法IP地址发送垃圾信息。
研究人员发现垃圾邮件活动和一家名为Yellsoft的公司有所关联。这家公司销售一种名为DirectMailer的邮件群发软件。根据ESET的说法,它的样本中硬编码的幕后服务器IP地址均位于194.54.81.162到194.54.81.164之间。
如 果检查接下来的两个IP地址,也就是194.54.81.165和194.54.81.166,就会发现这两个地址都指向Yellsoft的域名服务器。 而且,yellsoft.net的网页服务器就在194.54.81.166上。如果进一步检查最后的五个IP地址,也就是162~166,它们都会返回 相同的NS和SOA记录,尽管这些IP地址实际上属于rx-name.com。这些证据有力地表明,这五个IP地址都托管在同一台服务器上。
此外ESET还表示,DirectMailer的盗版版本会在受害设备上安装后门。另一个可能的注入向量是通过Joomla和Wordpress的漏洞实现的。
受害者应该在他们服务器上的所有用户间寻找未请求的Cronjob入口。
这是其后门使用的一种机制,用于每隔15分钟将自身激活一次。该后门通常安装在/tmp或/var/tmp目录中。将tmp目录改为noexec选项可以阻止后门开始运行。