Cảnh báo về mã độc nguy hiểm Mumblehard
14:50 | 01/11/2016 | LỖ HỔNG ATTT
Ngày 26/10/2016, Trung tâm Ứng cứu khẩn cấp máy tính Việt Nam (VNCERT) đã đưa ra cảnh báo về một loại mã độc có mức độ nguy hiểm nghiêm trọng, có tên Mumblehard (Muttering spam from your server). Hiện có khoảng hơn 30 địa chỉ IP ở Việt Nam bị lây nhiễm mã độc Mumblehard.
Mumblehard là một họ mã độc hướng đến các máy chủ chạy trên nền tảng Linux, BSD và Windows, hoạt động ít nhất từ năm 2009. Khi lây nhiễm trên máy chủ, Mumblehard để lại backdoor và cho phép tin tặc kiểm soát máy chủ, ngoài ra nó còn tạo ra một hộp thư ảo (spam daemon) để thực hiện gửi một lượng lớn thư rác ra bên ngoài.
Mã độc Mumblehard gồm 2 thành phần: Thành phần backdoor, là tập tin thực thi nằm ở thư mục tạm của hệ thống, được lập trình cứ chu kỳ 15 phút sẽ kết nối đến các máy chủ C&C để nhận lệnh. Thành phần Spammer, là một tiến trình nền (Daemon) không thường xuyên thực hiện chức năng gửi thư rác, khi chạy sẽ ẩn dưới các tên tiến trình httpd, mail hoặc init.
Cả 2 thành phần này đều được viết bằng Perl, sau đó đóng gói trong thư viện ELF (Executable and Linkable Format).
Hoạt động của thành phần backdoor và Spammer
Với sự giúp đỡ của lực lượng cảnh sát Ukraine, CysCentrum LLC và CertBund, các nhà nghiên cứu ESET đã có được thông tin về các máy chủ vào tháng 10/2015. Và đến ngày 29/2/2016, ESET đã kiểm soát các máy chủ điều khiển mạng botnet Mumblehard. Thời điểm hiện tại vẫn ghi nhận các kết nối từ các máy chủ này đến các C&C Sinkhole, do vậy có thể khẳng định các mã độc vẫn đang còn tồn tại trên máy và vẫn kết nối đến máy chủ để đợi lệnh. Do hiện tại không xác định cách thức lây nhiễm vào máy, vì vậy không thể đảm bảo các máy này không còn bị tin tặc kiểm soát.
Hướng dẫn kiểm tra và xử lý nhanh mã độc
Với Thành phần Backdoor: thường nằm trong thư mục /var/tmp hoặc /tmp, vì vậy người dùng hoặc các doanh nghiệp có thể kiểm tra như sau:
Tìm tiến trình được lập lịch trong cronjob.
$ crontab -l
*/15 * * * * /var/tmp/qCVwOWA >/dev/null 2>&1
Chú ý, nếu trên hệ thống có nhiều user cần phải kiểm tra với tất cả user. Mặc định Các các tập tin lập lịch của từng user nằm trong thư mục /var/spool/cron/crontabs/
Loại bỏ cronjob và backdoor
$ crontab -e
$ rm -rf BackdoorFile
Ngắt tiến trình liên quan đến backdoor
$Ps -ef | grep tmp
$ kill -9 PID
Với thành phần Spammer, chạy ẩn danh dưới tên http, mail, init nhưng dưới trình biên dịch Perl. Nên có thể tìm tiến trình như sau:
$ps -ef | grep -e ' httpd$' -e ' mail$' -e ' init$' | awk '{print $2}' | xargs -I '{}' ls -l '/proc/{}/exe' | grep perl | cut -d/ -f 3
Kiểm tra xem tiến trình có thực hiện gửi mail spam không
lsof -n -i -p {pid} | grep :smtp
Ngắt tiến trình
$ kill -9 PID
Theo đánh giá, mẫu Mumblehard đầu tiên được tìm thấy trên Virus Total năm 2009 và Mumblehard có mối liên kết chặt chẽ với Yellsoft- một công ty kinh doanh trực tuyến các phần mềm có thể thực hiện việc gửi một lượng lớn các email.
Trong khoảng 7 tháng nghiên cứu và thu thập dữ liệu về Mumblehard, các nhà nghiên cứu của ESET đã thống kê có tới 8.867 địa chỉ IP đã bị nhiễm Mumblehard và số địa chỉ IP bị nhiễm trong một ngày có thể lên đến 3.292 địa chỉ.
Mã độc Mumblehard gồm 2 thành phần: Thành phần backdoor, là tập tin thực thi nằm ở thư mục tạm của hệ thống, được lập trình cứ chu kỳ 15 phút sẽ kết nối đến các máy chủ C&C để nhận lệnh. Thành phần Spammer, là một tiến trình nền (Daemon) không thường xuyên thực hiện chức năng gửi thư rác, khi chạy sẽ ẩn dưới các tên tiến trình httpd, mail hoặc init.
Cả 2 thành phần này đều được viết bằng Perl, sau đó đóng gói trong thư viện ELF (Executable and Linkable Format).
Hoạt động của thành phần backdoor và Spammer
Với sự giúp đỡ của lực lượng cảnh sát Ukraine, CysCentrum LLC và CertBund, các nhà nghiên cứu ESET đã có được thông tin về các máy chủ vào tháng 10/2015. Và đến ngày 29/2/2016, ESET đã kiểm soát các máy chủ điều khiển mạng botnet Mumblehard. Thời điểm hiện tại vẫn ghi nhận các kết nối từ các máy chủ này đến các C&C Sinkhole, do vậy có thể khẳng định các mã độc vẫn đang còn tồn tại trên máy và vẫn kết nối đến máy chủ để đợi lệnh. Do hiện tại không xác định cách thức lây nhiễm vào máy, vì vậy không thể đảm bảo các máy này không còn bị tin tặc kiểm soát.
Hướng dẫn kiểm tra và xử lý nhanh mã độc
Với Thành phần Backdoor: thường nằm trong thư mục /var/tmp hoặc /tmp, vì vậy người dùng hoặc các doanh nghiệp có thể kiểm tra như sau:
Tìm tiến trình được lập lịch trong cronjob.
$ crontab -l
*/15 * * * * /var/tmp/qCVwOWA >/dev/null 2>&1
Chú ý, nếu trên hệ thống có nhiều user cần phải kiểm tra với tất cả user. Mặc định Các các tập tin lập lịch của từng user nằm trong thư mục /var/spool/cron/crontabs/
Loại bỏ cronjob và backdoor
$ crontab -e
$ rm -rf BackdoorFile
Ngắt tiến trình liên quan đến backdoor
$Ps -ef | grep tmp
$ kill -9 PID
Với thành phần Spammer, chạy ẩn danh dưới tên http, mail, init nhưng dưới trình biên dịch Perl. Nên có thể tìm tiến trình như sau:
$ps -ef | grep -e ' httpd$' -e ' mail$' -e ' init$' | awk '{print $2}' | xargs -I '{}' ls -l '/proc/{}/exe' | grep perl | cut -d/ -f 3
Kiểm tra xem tiến trình có thực hiện gửi mail spam không
lsof -n -i -p {pid} | grep :smtp
Ngắt tiến trình
$ kill -9 PID
Theo đánh giá, mẫu Mumblehard đầu tiên được tìm thấy trên Virus Total năm 2009 và Mumblehard có mối liên kết chặt chẽ với Yellsoft- một công ty kinh doanh trực tuyến các phần mềm có thể thực hiện việc gửi một lượng lớn các email.
Trong khoảng 7 tháng nghiên cứu và thu thập dữ liệu về Mumblehard, các nhà nghiên cứu của ESET đã thống kê có tới 8.867 địa chỉ IP đã bị nhiễm Mumblehard và số địa chỉ IP bị nhiễm trong một ngày có thể lên đến 3.292 địa chỉ.
