“大声bb”–攻击Linux和FreeBSD的恶意软件

本文讲的是 “大声bb”–攻击Linux和FreeBSD的恶意软件,ESET公司的研究人员发现了一个恶意软件家族,其攻击目标是运行Linux和FreeBSD的操作系统。

这种恶意软件被称为“大声bb”(Mumblehard),其会帮助攻击者创造后门,以提供被攻击系统的控制权。根据ESET的说法,该恶意软件的历史至少可以追溯到2009年,并且内含一个用于发送垃圾短信的模块。

这个恶意软件的组件基本上都是Prel脚本,这部分代码被加密封装在ELF二进制文件中。在某些情况下,这些Perl脚本会和另一个ELF可执行文件一起被Packer封装起来,类似于另一种恶意软件俄罗斯套娃。

ESET的研究者利用隧道技术研究了该恶意软件的后门模块,并收集了被感染服务器上的信息。在七个月的时间里,他们观察到“大声bb”查询的8867个独立的IP地址。在数量最高的一天,独立IP地址查询量达到了3292个。

这个恶意软件家族中包含两个组件:后门和骚扰保障。这两个组件都是用Perl写的,并用汇编语言写的Packer封装起来。使用汇编语言创建ELF二进制和混淆Perl源代码的方式显示了该恶意软件家族的复杂性,这高于一般恶意软件的平均水平。

对僵尸网络进行的监测表明,“大声bb”的主要目的似乎是通过受感染设备的合法IP地址发送垃圾信息。

研究人员发现垃圾邮件活动和一家名为Yellsoft的公司有所关联。这家公司销售一种名为DirectMailer的邮件群发软件。根据ESET的说法,它的样本中硬编码的幕后服务器IP地址均位于194.54.81.162到194.54.81.164之间。

如 果检查接下来的两个IP地址,也就是194.54.81.165和194.54.81.166,就会发现这两个地址都指向Yellsoft的域名服务器。 而且,yellsoft.net的网页服务器就在194.54.81.166上。如果进一步检查最后的五个IP地址,也就是162~166,它们都会返回 相同的NS和SOA记录,尽管这些IP地址实际上属于rx-name.com。这些证据有力地表明,这五个IP地址都托管在同一台服务器上。

此外ESET还表示,DirectMailer的盗版版本会在受害设备上安装后门。另一个可能的注入向量是通过Joomla和Wordpress的漏洞实现的。

受害者应该在他们服务器上的所有用户间寻找未请求的Cronjob入口。

这是其后门使用的一种机制,用于每隔15分钟将自身激活一次。该后门通常安装在/tmp或/var/tmp目录中。将tmp目录改为noexec选项可以阻止后门开始运行。

时间: 2024-11-10 00:57:33

“大声bb”–攻击Linux和FreeBSD的恶意软件的相关文章

Mumblehard:攻击Linux和FreeBSD的恶意软件

ESET公司的研究人员发现了一个恶意软件家族,其攻击目标是运行Linux和FreeBSD的操作系统. 这种恶意软件被称为"大声bb"(Mumblehard),其会帮助攻击者创造后门,以提供被攻击系统的控制权.根据ESET的说法,该恶意软件的历史至少可以追溯到2009年,并且内含一个用于发送垃圾短信的模块. 这个恶意软件的组件基本上都是Prel脚本,这部分代码被加密封装在ELF二进制文件中.在某些情况下,这些Perl脚本会和另一个ELF可执行文件一起被Packer封装起来,类似于另一种恶

数千Linux和FreeBSD服务器感染Mumblehard恶意软件

近期,ESET专家发现一种新型恶意软件Mumblehard,该恶意软件至少秘密存在了五年,感染了数千的Linux和FreeBSD服务器,并利用这些服务器投送垃圾邮件. 恶意软件Mumblehard攻击详情 ESET安全专家通过监视他们的C&C服务器发现曾有8867个不同IP地址连接了该服务器.更严重的是,在刚过去的三周内,就有3000个新IP地址连接了该服务器. 专家推测,攻击者是利用Joomla和WordPress中的漏洞入侵服务器,并在服务器上安装了Mumblehard恶意软件. ESET在

我看Linux与FreeBSD

简单说说,不做技术分析(主要是没什么技术),供大家参考,消遣.众所周知,这两个系统都是出自一个老祖宗,就是UNIX了.当然unix是非常非常稳定的,我想主要原因是当时还没有3721一类的流氓插件,也没有熊猫烧香.总之当pc还没有普及的时候,外部环境很单纯,系统也很单纯,自然不会有什么问题. Linux是由一个芬兰大学生Linus基于UNIX开发的,他也不是一时闲得无聊没妞泡,而是当时的AT&T与伯克利大学在BSD版权问题上发生了法律纠纷,导致BSD的源代码不能自由使用.(注:BSD是Unix的衍

Fairware勒索软件频繁攻击Linux服务器 大家赶紧做好备份

近期,Linux服务器管理员们报告了多次攻击,这些攻击导致服务器的web文件夹消失.网站无限期关闭.在BleepingComputer网站的论坛上,众多帖子证实了大量这样的攻击. 据一个受害者说,此类攻击最可能是SSH暴力攻击造成的入侵.在每一次这样的攻击中,攻击者都会删除web文件夹并留下一个read_me文件,里面的链接指向一个贴有勒索信的Pastebin网站页面.攻击者在勒索信中索取2个比特币来交换文件. 什么是勒索软件 勒索软件通常会将用户系统上文档.邮件.数据库.源代码.图片.压缩文件

Linux与FreeBSD中TCP协议栈实现之比较

作为两个最有名的开源操作系统,Linux和FreeBSD是网管们的首选.Linux以开放性和 众多的驱动支持著称,而FreeBSD有着优良的UNIX传统,是公认的最稳定的操作系统. 那么,在这两个操作系统间,该如何选择呢?幸好,我们有源码,可以从协议栈的实现中寻找答案.TCP/IP协议栈是网络中广泛使用的事实网络通信标准.最初的TCP实现源自4.4BSDlite,在Linux兴起后,也不可避免得支持它.但Linux的实现自成体系,仅与传统实现保持接口上的兼容,下面我们将针对源码级的实现,来分析一

通过 SSH 蛮力攻击方式的 Linux 发行版 DDoS 恶意软件

FireEye 的研究人员侦测到一次攻击活动中,恶意攻击者使用了 Secure Shell (SSH) 暴力破解攻击方式来在Linux和其他类型的系统上安装了一份 DDoS 攻击恶意软件. 这个叫做 XOR.DDoS 的恶意软件, 早在9月就被恶意软件必死研究组(Malware Must Die)发现, 他们将其链接到了一个中国演员的网页.XOR.DDoS 不同于其他的 DDoS 攻击机器人,因为它使用 C/C++ 编写的,且为了攻击的持久性,它还运用了一个rootkit组件. FireEye

黑客窃取SSH密钥 攻击Linux系统架构平台

中介交易 http://www.aliyun.com/zixun/aggregation/6858.html">SEO诊断 淘宝客 云主机 技术大厅 美国计算机安全紧急应变中心(US-CERT)在近日表示,检测表明黑客通过窃取SSH(Secure Shell)密钥针对Linux架构平台进行攻击. SSH作为远程通讯及网络服务专用的通讯协议之一,可以对传输数据进行加密,并透过公钥密码存取,因此被视为较可靠的协议.此外,许多使用SSH密钥登录的系统并不要求使用者重新输入密码,而直接自动登入.

用ROP进行栈溢出攻击Linux服务器

通过Protostar stack6演示Linux下ROP的简单使用,ROP就是所谓的Return Orientated Programming,早期也叫ret2libc,思路是一样的,只是平台换到了Linux下而已. 0×01. __builtin_return_address函数 先介绍下__builtin_return_address这个函数,这个函数接收一个参数,可以是0,1,2等.__builtin_return_address(0)返回当前函数的返回地址,如果参数增大1,那么就往上走

这个恶意软件专门保护路由器不被恶意软件攻击

本文讲的是这个恶意软件专门保护路由器不被恶意软件攻击,赛门铁克发现新型路由器和物联网设备恶意软件,该恶意软件感染设备后会清除已有恶意软件并锁定设备免遭将来的攻击. 忘了传统PC恶意软件吧:感染路由器和其他接入互联网的设备才是恶意黑客间新的潮流--鉴于其有效性和相对易操作性.但一种新型恶意软件也开始在网上流传--一种可称之为义务代码的病毒:浸透你的路由器和物联网设备,再实际上加固设备对传统攻击的防御力,留下有用信息,向早期自由软件活动家理查德·斯托尔曼致敬. 这不是开玩笑! 赛门铁克最早在2014