LOADING CLOSE

از بین رفتن شبکه Spammer botnet Mumblehard

از بین رفتن شبکه Spammer botnet Mumblehard

از بین رفتن شبکه Spammer botnet Mumblehard

از بین رفتن شبکه Spammer botnet Mumblehard

یک سال پس از انتشار تحلیل فنی بدافزار “ Mumblehard botnet Linux”، شرکت ESET گزارش نموده است که با همکاری پلیس سایبری کشور اکراین و شرکت CyS Centrum LLC این شبکه منحل شده است و از تاریخ 16 فوریه 2016 تمام فعالیت‌های اسپم آن غیرفعال می‌باشد. شرکت ESET در حال اجرا یک سرور sinkhole برای تمامی اجزا شناخته‌شده Mumblehard هست. به گفته این شرکت داده‌های sinkhole با CERT-Bund به اشتراک گذارده شده است تا به‌تمامی طرفین تحت تأثیر این حملات اسپم در سراسر جهان اطلاع‌رسانی شود. محققان ESET در ماه بعد از انتشار گزارش عکس‌العملی را از هکرهای مسئول botnet مشاهده نمودند. در این گزارش روش کار ESET بیان شد. آنها یک دومین را که به‌عنوان سرور C&C فعالیت داشت، برای جزء درب پشتی (backdoor) ثبت نمودند تا اندازه و توزیع شبکه botnet را تخمین بزنند. نویسندگان بدافزار سپس تمامی دومین‌ها و آدرس‌های IP را از لیست سرورهای C&C در بدافزار حذف نمودند و فقط موارد تحت کنترل را نگه داشتند.

mumblehard1

 1-    تفاوت مابین کد مرتب‌شده Perl درب پشتی  Mumblehard قبل و بعد از انتشار گزارش ESET

ESET می‌گوید که اولین نسخه به‌روزرسانی شده بدافزار در مِه 2015 24 دیده شد. بات های موجود همگی در یک‌زمان به‌روزرسانی نشدند. Sinkhole شرکت نشان داد که به‌روزرسانی سری اول بات ها (حدود 500 عدد) در 25 May انجام شد و بقیه به‌روزرسانی bot ها یک ماه بعد انجام شد .

mumblehard2
2- آمار sinkhole بدافزار Mumblehard پس از انتشار

با فعال بودن فقط یک آدرس IP به‌عنوان سرور C&C برای درب پشتی mumblehard و بدون مکانیزم پشتیبانی دوم، امکان کنترل نمودن ان آدرس IP کافی بود که از فعالیت‌های مخرب این botnet جلوگیری کند. سپس با مقامات مربوط برای اقدامات لازم گزارش رسانی شد.
با کمک پلیس سایبری اکراین و شرکت CyS Centrum LLC اطلاعات از سرور C&C در اکتبر 2015 دریافت شد. پس از تحلیل کارشناسان مشخص شد که برآوردهای اولیه در مورد اندازه و اهداف botnet درست بوده است. هدف اصلی این گروه اسپم نمودن بوده است و چندین کنسول کنترل متفاوت برای ساده‌سازی کنترل botnet نیز کشف شد. مانند اجزا مخرب دیگر mumblehard ، این کنسول‌ها به زبان برنامه‌نویسی Perl هست.

 mumblehard3
3-    کنسول کنترل استفاده‌شده برای push کردن دستورات به درب پشتی mumblehard

     mumblehard4
4-    کنسول کنترل که نشان‌دهنده وضعیت فعالیت‌های spam است

بردار(vector) حمله mumblehard به نظر می‌رسد که از PHP shell های نصب‌شده اجراشده‌اند ولی روش کار هنوز معلوم نیست.

 mumblehard5
5- کنسول کنترل برای push کردن دستورات به یک لیست PHP shells

یک جنبه جالب دیگر فعالیت‌های mumblehard که توسط  دسترسی ESET به سرورC&C کشف شد، خاصیت حذف خودکار از لیست Spamhaus’ Composite Blocking List (CBL) بود. یک script کشف شد که به‌صورت خودکار CBL را برای آدرس‌های IP تمامی بات مای اسپم مانیتور می‌کرد. اگر آدرس spam Bot ها در لیست سیاه قرار داشت، این script درخواست حذف آن آدرس را می‌کرد. چنین درخواست‌هایی با یک CAPTCHA محافظت می‌شدند تا اتوماسیون بر آنها انجام نشود اما از ORC برای قطع کردن محافظت استفاده می‌شد.

mumblehard6a
6- وضعیت آدرس IP از کنسول کنترل پس از حذف از لیست CBL

تمامی فعالیت‌های C&C که برای تماس با هاست راه دور (مانند اجرا دستورات بر روی PHP shell، حذف از لیست CBL، و غیره) می‌باشد از طریق پراکسی انجام می‌شد. عملکرد پراکسی باز (open proxy) Mumblehard spamming daemon، گوش دادن بر روی پورت 39331، برای پنهان‌سازی (masking) منبع اصلی درخواست استفاده می‌شد. کنسول کنترل در دسترس بودن تمامی پراکسی‌ها چک می‌کرد و قربانی در 63 کشور مختلف را نشان می‌داد.

mumblehard7a
7. کنسول کنترل و چک کردن پراکسی باز و تعداد کشورها

آخرین آمار sinkhole ها
وقتی‌که پلیس سایبری اکراین سرور C&C mumblehard را در 29 فوریه 2016 غیرفعال نمود، آن توسط یک Sinkhole تحت کنترل ESET جایگزین شد. داده جمع‌آوری‌شده از این sinkhole در ماه مارس 2016 نشان می‌دهد که تقریباً 4000 دستگاه‌های Linux، توسط botnet mumblehard نقض شده است، اما این تعداد به‌تدریج در حال کاهش است. CERT-Bund در حال آگاه نمودن افراد آلوده‌شده است.

 mumblehard8
8- آمار از sinkhole ESET

راه‌ حل
اگر هشداری دریافت کردید که یکی از سیستم‌های شما آلوده‌شده است، برای اطلاعات بیشتر، روش پیدا کردن و حذف این بدافزار به سایت مربوط بروید (https://github.com/eset/malware-ioc/tree/master/mumblehard). از زمان انحلال این گروه گونه‌ها و حملات جدید mumblehard دیده نشده است. برای جلوگیری از آلودگی‌های احتمالی در آینده همه برنامه‌های تحت وب در سیستم شما و plugin های مربوط به روز باشند و از اسم رمزهای قوی استفاده کنید.

دیدگاهتان را بنویسید