Découverte du malware Mumblehard par ESET

2
88
ESET Investigation

Les chercheurs en sécurité de ESET viennent de découvrir et d’étudier un malware baptisé Mumblehard. Ce dernier a infecté des milliers de serveurs Linux et FreeBSD pendant la moitié d’une décennie en envoyant des messages indésirables à partir des machines infectées.

Alors que des techniciens d’ESET cherchaient à résoudre à problème de blacklistage d’un serveur d’un administrateur (pour envoi de spams), ils ont découvert le malware Mumblehard, possédant deux composants distincts formant une sorte de pack.

Le premier contient les adresses distantes des exécutables à télécharger, et s’avère être une porte dérobée (backdoor) exécutant des requêtes vers le serveur de commande et de contrôle (C&C). La seconde partie est un démon complet dédié à l’envoie des spams à plein temps. Ces malwares ont pu jusque-là sévir en toute impunité à cause du fait que les deux parties qui sont codées en Perl ont été cachées à l’intérieur d’un binaire ELF d’environ deux instructions.

Plus en détail, on constate que le composant qui agit comme une porte dérobée est chargé d’envoyer des requêtes aux serveurs C&C afin de demander des commandes et confirmer le succès de l’exécution de ces dernières. La seule commande qu’elle effectue en boucle est de télécharger l’adresse et de l’exécuter. Pour ce faire, le composant utilise un agent codé en dur semblable à celui utilisé par Firefox 7.01 tournant sur Windows 7. Après avoir exécuté la commande, Mumblehard demande à chaque serveur C&C répertorié sur une liste si le fichier a été exécuté ou non. Cette opération est effectuée en intégrant les résultats dans l’agent qui se présentera comme suit après exécution des commandes.

En ce qui concerne le second composant, il envoie des spams à partir des serveurs en utilisant un proxy générique. Il écoute les connexions entrantes sur le port TCP et envoie une notification au serveur C&C à partir de ce même port. À ce niveau, seules deux commandes peuvent être envoyées aux hosts infectés. Ce sont l’ajout d’adresses IP à la liste des ordinateurs déjà infectés et la création d’un nouveau tunnel TCP. Le serveur C&C quant à lui fonctionne avec le port 25.

Pour un résumé du schéma d’exécution, on peut se référer au graphe ci-dessous :

Linux-Mumblehard

Il faut souligner que Mumblehard intègre des lignes de code compatibles uniquement avec les systèmes d’exploitation Linux, FreeBSD et Windows. Toutefois, le binaire ELF qui n’est pas compatible avec Windows ne pourra pas s’exécuter sur cette plateforme et donc l’infecter par ce moyen. Néanmoins, il n’est pas exclu que les scripts Perl soient utilisés sans le binaire EFL ou avec un binaire compatible Windows.

Pour se protéger, le moyen le plus répandu serait le blocage du port 25, de plus en plus remplacé par le port 587, correspondant aux SMTP sécurisés, requérant une authentification.

Sources : Developpez.comESET News (pdf)

 

Les commentaires sont fermés.