Закрыт крупный ботнет из Linux-серверов

Сообщается о закрытии ботнета Mumblehard, включавшего около 4000 Linux-серверов. Ботнет был обнаружен более года назад и использовался преимущественно для рассылки спама. В сотрудничестве с правоохранительными органами разных стран, в числе которых Украина и Эстония.

Исследователям из компании ESET удалось получить контроль над IP-адресом последнего активного управляющего сервера и инициировать операцию чистки вредоносного ПО. Выявление основного управляющего хоста затрудняло то, что хост передавал команды не напрямую, а через цепочку запутывающих прокси-серверов, которые были размещены в 63 странах.

Пока не ясно каким способом осуществлялось внедрение вредоносного ПО: изначально выдвинутая теория, что компоненты Mumblehard распространялись через эксплуатацию уязвимостей в WordPress и Joomla, не подтвердилась. Анализ начинки управляющего сервера не выявил следов организации атак, на сервере был код только для использования уже созданных точек входа через PHP shell. Предполагается, что взломами занималась отдельная криминальная группа, которая продавала создателям ботнета доступ к взломанным машинам, пишет opennet.ru.

Управляющее ПО Mumblehard написано на языке Perl, но распространяется в зашифрованной форме внутри исполняемого файла в формате ELF с компактным распаковщиком на языке ассемблера. Кроме бэкдора, позволяющего управлять работой хоста, в комплект входит реализация высокопроизводительного SMTP-сервера, способного рассылать большие объемы спама.

Интересной особенностью управляющих серверов является наличие средств для отслеживания попадания узлов ботнета в чёрные спискиSpamhaus CBL и отправки сообщений на прекращение блокировки IP-адресов, в том числе система использует встроенные и внешние механизмы распознавания символов (OCR) для обхода защиты через ввод CAPTCHA. Для управления рассылкой спама в ботнете применялся достаточно функциональный web-интерфейс.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Google открыла исходный код песочницы для библиотек C, C++ на Linux

Google открыла исходный код своего проекта, который предоставляет песочницу для библиотек C и C++, запущенных в системе Linux. Sandboxed API — именно так называется разработка, которую Google активно использовала годами внутри корпорации для дата-центров.

Теперь Sandboxed API доступен на GitHub, там же можно найти документацию, которая поможет разработчикам обеспечить изолированную среду для своих библиотек C и C++. Предполагается, что с новыми возможностями программисты также смогут защитить свои библиотеки от эксплойтов и вредоносных вложений.

В сущности, Sandboxed API представляет собой библиотеку, которая помогает разработчикам автоматизировать запуск кода C и C++ в Sandbox2 — специальной кастомной песочнице Google для систем Linux.

Исходный код Sandbox2 также был открыт, его можно найти в том же репозитории GitHub. В своем блоге американская корпорация рассказала о планах добавить поддержку других языков программирования.

Помимо этого, разработчики Google подумывают над портированием Sandbox2 под FreeBSD, OpenBSD и macOS.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru