Ботнет Linux/Mumblehard демонтований за допомогою ESET

Через рік після публикации нашого технічного аналізу ботнету на основі шкідливої програми Linux/Mumblehard, ми раді повідомити про його успішне демонтування. Компанія ESET, спільно з киберполицией України і компанією CyS Centrum LLC, змогли демонтувати ботнет Mumblehard, зупинивши його активність по розсилці спаму з 29 лютого 2016 р. Компанія ESET, спільно з киберполицией України та компанією CyS Centrum LLC, змогли демонтувати ботнет Mumblehard, припинивши його активність по розсилці спаму з 29 лютого 2016 р.



Компанія ESET застосувала відомий механізм під назвою sinkhole (синкхолинг) для всіх відомих компонентів Mumblehard. Ми поділилися отриманими в результаті цієї операції даними з організацією CERT-Bund. Ця організація повідомила центри CERT інших країн у разі присутності там ботів Mumblehard.

Через місяць після публікації дослідження з Mumblehard в минулому році, наші дослідники помітили реакцію зловмисників, які стояли за цим ботнетом. У нашому звіті ми згадували процес реєстрації доменних імен, які представляли із себе адреси альтернативних C&C-серверів Mumblehard. Цей процес використовувався для підрахунку розміру ботнету та відстеження поширення шкідливої програми. Автори Mumblehard відгукнулися на ці дії, видаливши непотрібні для них адреси доменів та ІР-адреси зі списку керуючих C&C-серверів. При цьому вони залишили тільки той, який знаходився під їх безпосереднім контролем.


Рис. 1. Відмінності між Perl-кодом бекдор Mumblehard до публікації технічного дослідження ESET і після.

У перший раз ми спостерігали оновлену версію 24 травня 2015 року. Її зразок з'явився на сервісі VirusTotal вже на наступний день.

Існували на той момент боти не були поновлені одночасно. Наш механізм sinkhole дозволив зафіксувати оновлення першій частині ботів, від їх загальної кількості 500 машин, 25-го травня. Решта отримали оновлення через місяць, 26-го червня.


Рис. 2. Статистика активності ботів Mumblehard після публікації.

Зловмисники переключилися на використання однієї адреси C&C-сервера для бекдор Mumblehard не передбачивши запасний варіант. Одержання управління над ним з подальшим його закриттям, стало достатньою умовою порушення діяльності ботнету. Для цього була започаткована ініціатива з нашої сторони, після чого ми зв'язалися з правоохоронними органами.

З допомогою українського відділення кіберполіції і компанії CyS Centrum LLC, ми змогли отримати інформацію з керуючого C&C-сервера в жовтні 2015 р. Криміналістичний аналіз показав той факт, що більшість наших первинних припущень про розмір ботнету і його метою були правильними: розсилка спаму представляла з себе основну задачу ботнету. Ми також виявили кілька різних панелей управління, які використовувалися для управління ботнетом.

Як і у випадку з іншими компонентами Mumblehard, панель управління була написана на мові програмування Perl.


Рис. 3. Панель управління ботнетом, яка використовувалася для відправки команд шкідливій програмі.


Рис. 4. Панель управління показує статус завдання розсилки спаму (spam job).

У нашому попередньому дослідженні залишався відкритим наступне питання: яким був початковий вектор компрометації користувачів шкідливою програмою Mumblehard? Ми знали, що деякі користувачі були скомпрометовані цим бекдорів через незакриту уразливість в одній з платформ управління вмістом (CMS), таку як WordPress або Joomla. Для цієї мети могла бути використана і уразливість в одному з їх плагінів. Криміналістичний аналіз керуючого C&C-сервера бекдор показав, що комп'ютери не були скомпрометовані через цей сервер. Виявлені нами скрипти могли бути запущені тільки в тому середовищі, де вже був встановлений PHP shell. Можливо, що оператори Mumblehard купували доступ до цих комп'ютерів потенційних жертв у іншої банди.


Рис. 5. Панель управління для передачі команд списком командних інтерпретаторів PHP.

Ще однією цікавою особливістю роботи Mumblehard є механізм автоматичного виключення IP-адрес ботів зі списку адрес Spamhaus Composite Blocking List (CBL). Зловмисники використовували спеціальний скрипт для відстеження вмісту цього списку на предмет наявності там IP-адрес кожного з спам-ботів. У разі потрапляння В список одного з таких IP-адрес, скрипт відправляв запит на їх виключення з CBL. Подібні запити на вилучення адрес зі списку захищені з використанням CAPTCHA, але механізм OCR (або його external-аналог) використовувався для її обходу.


Рис. 6. Статус IP-адреси одного з спам-ботів після його видалення зі списку CBL.

Всі операції з керуючим C&C-сервером, які включають в себе взаємодію з віддаленим (зараженим) хостом, такі як виконання команд на інтерпретатор PHP, виключення зі списку CBL і схожі з ними, виконуються з використанням проксі. Для обслуговування проксі-сервера спам-демон Mumblehard прослуховує TCP-порт 39331. Така функція використовується для маскування джерела query-запиту. Керуюча панель ботнету перевіряє доступність всіх проксі серед жертв шкідливої програми в 63 країнах.


Рис. 7. Керуюча панель відображає статус відкритих проксі-сервера в різних країнах.

Коли фахівці кіберполіції України закрили керуючий C&C-сервер Mumblehard 29-го лютого 2016 р., він був заміщений аналогічним, який управлявся нашими фахівцями (sinkhole). Ми збирали через цей сервер дані протягом березня 2016 р. Статистика показувала майже 4 тис. систем під управлінням Linux, які були скомпрометовані Mumblehard на кінець лютого. Останнім часом число скомпрометованих систем повільно знижується.

Організація CERT-Bund нещодавно почала розсилати повідомлення скомпрометованим організаціям і користувачам. Ми сподіваємося побачити істотне зниження кількості заражених систем в наступні тижні.


Рис. 8. Статистика нового сервера sinkhole.

Якщо ви отримали повідомлення про те, що одна з ваших систем виявилася скомпрометована Linux/Mumblehard, зверніть увагу на наш розділ індикаторів компрометації (IoC) в репозиторії GitHub. Там вказані методи виявлення шкідливої програми в системі і її видалення звідти.

Як превентивний захід для запобігання зараження слід регулярно оновлювати веб-додатки, розміщені в системі, включаючи плагіни. Крім цього, для облікового запису адміністратора слід використовувати складний пароль.

Висновок

Співробітництво з правоохоронними органами та іншими важливими організаціями мало вирішальне значення, яке призвело до ліквідації ботнету. Наші фахівці висловлюють подяку кіберполіції України (Cyber Police of Ukraine), організаціям CyS Centrum LLC і CERT-Bund. Ми задоволені результатами операції і пишаємося нашими зусиллями з організації безпеки в Інтернеті. Ботнет на основі Mumblehard чи є найнебезпечнішим, найбільш поширеним або найскладнішим з усіх, але, тим не менш, його закриття стало ще одним кроком у правильному напрямку, який показує той факт, що дослідники в області безпеки, що працюють з іншими серйозними організаціями, сприяють зниженню рівня кіберзлочинності в Інтернеті.

Джерело: Хабрахабр
  • avatar
  • 0

0 коментарів

Тільки зареєстровані та авторизовані користувачі можуть залишати коментарі.