از بین رفتن شبکه Spammer botnet Mumblehard
از بین رفتن شبکه Spammer botnet Mumblehard
یک سال پس از انتشار تحلیل فنی بدافزار “ Mumblehard botnet Linux”، شرکت ESET گزارش نموده است که با همکاری پلیس سایبری کشور اکراین و شرکت CyS Centrum LLC این شبکه منحل شده است و از تاریخ 16 فوریه 2016 تمام فعالیتهای اسپم آن غیرفعال میباشد. شرکت ESET در حال اجرا یک سرور sinkhole برای تمامی اجزا شناختهشده Mumblehard هست. به گفته این شرکت دادههای sinkhole با CERT-Bund به اشتراک گذارده شده است تا بهتمامی طرفین تحت تأثیر این حملات اسپم در سراسر جهان اطلاعرسانی شود. محققان ESET در ماه بعد از انتشار گزارش عکسالعملی را از هکرهای مسئول botnet مشاهده نمودند. در این گزارش روش کار ESET بیان شد. آنها یک دومین را که بهعنوان سرور C&C فعالیت داشت، برای جزء درب پشتی (backdoor) ثبت نمودند تا اندازه و توزیع شبکه botnet را تخمین بزنند. نویسندگان بدافزار سپس تمامی دومینها و آدرسهای IP را از لیست سرورهای C&C در بدافزار حذف نمودند و فقط موارد تحت کنترل را نگه داشتند.
1- تفاوت مابین کد مرتبشده Perl درب پشتی Mumblehard قبل و بعد از انتشار گزارش ESET
ESET میگوید که اولین نسخه بهروزرسانی شده بدافزار در مِه 2015 24 دیده شد. بات های موجود همگی در یکزمان بهروزرسانی نشدند. Sinkhole شرکت نشان داد که بهروزرسانی سری اول بات ها (حدود 500 عدد) در 25 May انجام شد و بقیه بهروزرسانی bot ها یک ماه بعد انجام شد .
2- آمار sinkhole بدافزار Mumblehard پس از انتشار
با فعال بودن فقط یک آدرس IP بهعنوان سرور C&C برای درب پشتی mumblehard و بدون مکانیزم پشتیبانی دوم، امکان کنترل نمودن ان آدرس IP کافی بود که از فعالیتهای مخرب این botnet جلوگیری کند. سپس با مقامات مربوط برای اقدامات لازم گزارش رسانی شد.
با کمک پلیس سایبری اکراین و شرکت CyS Centrum LLC اطلاعات از سرور C&C در اکتبر 2015 دریافت شد. پس از تحلیل کارشناسان مشخص شد که برآوردهای اولیه در مورد اندازه و اهداف botnet درست بوده است. هدف اصلی این گروه اسپم نمودن بوده است و چندین کنسول کنترل متفاوت برای سادهسازی کنترل botnet نیز کشف شد. مانند اجزا مخرب دیگر mumblehard ، این کنسولها به زبان برنامهنویسی Perl هست.
3- کنسول کنترل استفادهشده برای push کردن دستورات به درب پشتی mumblehard
4- کنسول کنترل که نشاندهنده وضعیت فعالیتهای spam است
بردار(vector) حمله mumblehard به نظر میرسد که از PHP shell های نصبشده اجراشدهاند ولی روش کار هنوز معلوم نیست.
5- کنسول کنترل برای push کردن دستورات به یک لیست PHP shells
یک جنبه جالب دیگر فعالیتهای mumblehard که توسط دسترسی ESET به سرورC&C کشف شد، خاصیت حذف خودکار از لیست Spamhaus’ Composite Blocking List (CBL) بود. یک script کشف شد که بهصورت خودکار CBL را برای آدرسهای IP تمامی بات مای اسپم مانیتور میکرد. اگر آدرس spam Bot ها در لیست سیاه قرار داشت، این script درخواست حذف آن آدرس را میکرد. چنین درخواستهایی با یک CAPTCHA محافظت میشدند تا اتوماسیون بر آنها انجام نشود اما از ORC برای قطع کردن محافظت استفاده میشد.
6- وضعیت آدرس IP از کنسول کنترل پس از حذف از لیست CBL
تمامی فعالیتهای C&C که برای تماس با هاست راه دور (مانند اجرا دستورات بر روی PHP shell، حذف از لیست CBL، و غیره) میباشد از طریق پراکسی انجام میشد. عملکرد پراکسی باز (open proxy) Mumblehard spamming daemon، گوش دادن بر روی پورت 39331، برای پنهانسازی (masking) منبع اصلی درخواست استفاده میشد. کنسول کنترل در دسترس بودن تمامی پراکسیها چک میکرد و قربانی در 63 کشور مختلف را نشان میداد.
7. کنسول کنترل و چک کردن پراکسی باز و تعداد کشورها
آخرین آمار sinkhole ها
وقتیکه پلیس سایبری اکراین سرور C&C mumblehard را در 29 فوریه 2016 غیرفعال نمود، آن توسط یک Sinkhole تحت کنترل ESET جایگزین شد. داده جمعآوریشده از این sinkhole در ماه مارس 2016 نشان میدهد که تقریباً 4000 دستگاههای Linux، توسط botnet mumblehard نقض شده است، اما این تعداد بهتدریج در حال کاهش است. CERT-Bund در حال آگاه نمودن افراد آلودهشده است.
8- آمار از sinkhole ESET
راه حل
اگر هشداری دریافت کردید که یکی از سیستمهای شما آلودهشده است، برای اطلاعات بیشتر، روش پیدا کردن و حذف این بدافزار به سایت مربوط بروید (https://github.com/eset/malware-ioc/tree/master/mumblehard). از زمان انحلال این گروه گونهها و حملات جدید mumblehard دیده نشده است. برای جلوگیری از آلودگیهای احتمالی در آینده همه برنامههای تحت وب در سیستم شما و plugin های مربوط به روز باشند و از اسم رمزهای قوی استفاده کنید.
