IdentifiantMot de passe
Mot de passe oublié ?Je m'inscris ! (gratuit)

Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

ESET découvre le malware Mumblehard après cinq ans d'infection des serveurs Linux et FreeBSD
Ce spammeur pourrait être étendu à Windows

Le , par Olivier Famien
12 commentaires

21PARTAGES

1  0 
Le cabinet de sécurité informatique ESET vient de mettre au grand jour un malware baptisé Mumblehard. Ce dernier a infecté des milliers de serveurs Linux et FreeBSD pendant la moitié d’une décennie en envoyant des messages indésirables à partir des machines infectées.

C’est en cherchant à résoudre le problème d’un administrateur système dont le serveur avait été mis sur liste noire pour envoi de spams qu’ESET a découvert Linux/Mumblehard. En approfondissant les recherches, les techniciens ont pu s’apercevoir que Mumblehard qui est une famille de logiciels malveillants se présente sous deux composants.

Le premier qui contient les adresses distantes des exécutables à télécharger est en fait une porte dérobée exécutant des requêtes vers le serveur de C&C. La seconde partie est un démon complet qui envoie des spams. Ces malwares ont pu jusque-là sévir en toute impunité à cause du fait que les deux parties qui sont codées en Perl ont été cachées à l’intérieur d’un binaire ELF d’environ deux instructions.

Plus en détail, on constate que le composant qui agit comme une porte dérobée est chargé d’envoyer des requêtes aux serveurs C&C afin de demander des commandes et confirmer le succès de l’exécution. La seule commande qu’elle effectue en boucle est de télécharger l’adresse et de l’exécuter. Pour ce faire, le composant utilise un agent codé en dur semblable à celui utilisé par Firefox 7.01 tournant sur Windows 7. Il est de ce type:

Code : Sélectionner tout 
Mozilla/5.0 (Windows NT 6.1; rv:7.0.1) Gecko/20100101 Firefox/7.0.1
Après avoir exécuté la commande, Mumblehard demande à chaque serveur C&C répertorié sur une liste si le fichier a été exécuté ou non. Cette opération est effectuée en intégrant les résultats dans l’agent qui se présentera comme suit après exécution des commandes.

Code : Sélectionner tout 
Mozilla/5.0 (Windows NT 6.1; rv:7.0.1) Gecko/<command_id>.<http_status>.<downloaded_file_size> Firefox/7.0.1
En ce qui concerne le second composant, il envoie des spams à partir des serveurs en utilisant un proxy générique. Il écoute les connexions entrantes sur le port TCP et envoie une notification au serveur C&C à partir de ce même port. À ce niveau, seules deux commandes peuvent être envoyées aux hosts infectés. Ce sont l’ajout d’adresses IP à la liste des ordinateurs déjà infectés et la création d’un nouveau tunnel TCP. Le serveur C&C quant à lui fonctionne avec le port 25.

Pour un résumé du schéma d’exécution, on peut se référer au graphe ci-dessous.


Il faut souligner que Mumblehard intègre des lignes de code compatibles uniquement avec les systèmes d’exploitation Linux, FreeBSD et Windows. Toutefois, le binaire ELF qui n’est pas compatible avec Windows ne pourra pas s’exécuter sur cette plateforme et donc l’infecter par ce moyen. Néanmoins, il n’est pas exclu que les scripts Perl soient utilisés sans le binaire EFL ou avec un binaire compatible Windows.

Source : ESET News (pdf)

Et vous ?

Que pensez vous de ces attaques ?

Qui pensez-vous peut en être l'auteur ?

Une erreur dans cette actualité ? Signalez-nous-la !

12 commentaires
Commenter Signaler un problème
Traroth2
Avatar de Traroth2
Membre émérite https://www.developpez.com
Le 04/05/2015 à 16:34
Citation Envoyé par AoCannaille Voir le message
Pour ma part je pense que les utilisateurs des OS linux sur serveurs sont bien formés et du coup limitent énormément les risque (séparation forme entre les droit root et les autres). Donc les erreurs humaines sont moins "flagrantes" ou "intuitives" et limitent les axes d'attaques.

Pour relier mon point de vu à ce que disais nirgal76 :

Je pense que du coup, le pourcentage de PC/serveur Linux mal configuré/utilisé par rapport au parc complet est bien inférieur au même pourcentage sous Windows.

D'autant plus que la grosse majorité des serveurs se trouvent dans des parcs avec des surcouches de protections à l’extérieures de l'OS en lui même (protection anti-ddos OVH, Firewall ultra personnalisé etc...)
Ah, mais ça, c'est indiscutable. Si l'utilisateur ne fait pas un minimum attention, le système sera toujours vulnérable. C'est totalement impossible de sécuriser un système sans que l'utilisateur soit prudent. Pour faire une analogie, ce n'est pas la peine d'acheter une porte blindée si on la laisse entrebâillée en partant au boulot le matin...
2  0 
AoCannaille
Avatar de AoCannaille
Expert confirmé https://www.developpez.com
Le 04/05/2015 à 19:28
Citation Envoyé par Traroth2 Voir le message
Ah, mais ça, c'est indiscutable. Si l'utilisateur ne fait pas un minimum attention, le système sera toujours vulnérable. C'est totalement impossible de sécuriser un système sans que l'utilisateur soit prudent. Pour faire une analogie, ce n'est pas la peine d'acheter une porte blindée si on la laisse entrebâillée en partant au boulot le matin...
Ce que je veux dire, pour reprendre ton analogie, c'est que l'illusion du fait que Linux serait plus sécurisé que Windows vient du fait que (chiffres au pif) 60% des utilisateurs Windows laissent leur porte entrebâillée pour 2% des utilisateurs linux.
2  0 
SurferIX
Avatar de SurferIX
Membre chevronné https://www.developpez.com
Le 13/05/2015 à 11:57
Comme tout système, si jamais on a la bonne idée de n'autoriser que des connexions entrantes sur certains ports, il n'aurait (n'aura) jamais pu fonctionner.
Juste un problème de configuration de la part de l'admin système.
Après, bien sûr, on est dans le système tel qu'il est : "installation -> suivant -> suivant -> terminé" -> "apt-get install apache" -> "Mr le directeur, notre serveur Linux est prêt à fonctionner". Normal.
Failles de sécurité grandes comme l'Arc de triomphe, mais bon : c'est vite fait, et rentable. Le plus important, non ?
2  0 
JayGr
Avatar de JayGr
Membre actif https://www.developpez.com
Le 18/05/2015 à 13:38
Citation Envoyé par AoCannaille Voir le message
Ce que je veux dire, pour reprendre ton analogie, c'est que l'illusion du fait que Linux serait plus sécurisé que Windows vient du fait que (chiffres au pif) 60% des utilisateurs Windows laissent leur porte entrebâillée pour 2% des utilisateurs linux.
Ouille ouille. Un peu rapide à dire. Ce n'est pas parce que tu utilises Linux que tu es bien formé ou que tu sais mieux appliqué les notions de sécurité.
Par contre, dire que les fans de Linux maîtrise mieux leur OS contrairement à des fans de Windows, ça je veux bien.
Mais dans les faits, les mauvais choix d'administration (Linux ou Windows) sont toujours faits par des gens moins compétent ou manquant de notions sécurité. Après de la à catégoriser les malins dans un OS et les moins malins dans un autre... C'est un peu abusé.
2  0 
TiranusKBX
Avatar de TiranusKBX
Expert confirmé https://www.developpez.com
Le 01/05/2015 à 15:54
vous avez vus les vecteurs d'infection ?
Citation Envoyé par le pdf
Based on the server where we made the discovery and the list of systems we have identified as
infected, there are two plausible infection vectors used to spread Mumblehard. The most popular
vector seems to be the use of Joomla and Wordpress exploits. The other is through the distribution
of backdoored "pirated" copies of a Linux and BSD program known as DirectMailer, software that
Yellsoft sells on their website for $240. The pirated copies actually install the Mumblehard backdoor
(described later) that allows the operators to install additional malware. More details about this
method of distribution are given in the "Cracked" DirectMailer section.
donc c'est soit des failles de cms soit on à été suffisamment stupide pour télécharger un logiciel par l'intermédiaire d'une société louche
mais alors tout repose sur de mauvais choix humains
1  0 
AoCannaille
Avatar de AoCannaille
Expert confirmé https://www.developpez.com
Le 04/05/2015 à 14:03
Citation Envoyé par Traroth2 Voir le message
Je ne vois d'ailleurs pas pourquoi ils seraient par principe moins attaqués : ils sont largement dominants sur les serveurs, désormais. S'ils étaient aussi vulnérables que Windows, ils seraient attaqués, bien évidemment.
Pour ma part je pense que les utilisateurs des OS linux sur serveurs sont bien formés et du coup limitent énormément les risque (séparation forme entre les droit root et les autres). Donc les erreurs humaines sont moins "flagrantes" ou "intuitives" et limitent les axes d'attaques.

Pour relier mon point de vu à ce que disais nirgal76 :
[...]Et que comme tout OS, mal configuré/utilisé, il est vulnérable.
Je pense que du coup, le pourcentage de PC/serveur Linux mal configuré/utilisé par rapport au parc complet est bien inférieur au même pourcentage sous Windows.

D'autant plus que la grosse majorité des serveurs se trouvent dans des parcs avec des surcouches de protections à l’extérieures de l'OS en lui même (protection anti-ddos OVH, Firewall ultra personnalisé etc...)
1  0 
marsupial
Avatar de marsupial
Expert éminent https://www.developpez.com
Le 01/05/2015 à 12:41
Une véritable oeuvre d'art pour tout hacker qui se respecte. Un véritable calvaire à retirer pour tout hacker qui se respecte.

Procédure d'épuration en cours et je dirai que l'(es)auteur(s) viennent du Darkweb.
0  1 
steel-finger
Avatar de steel-finger
Membre confirmé https://www.developpez.com
Le 01/05/2015 à 14:44
C'est même sur qu'ils viennent du DarkWeb.
0  1 
steel-finger
Avatar de steel-finger
Membre confirmé https://www.developpez.com
Le 01/05/2015 à 19:33
J'ai jamais eu ce problème, oui comme tu le dit je pense que les gens qui télécharge les thèmes cms ou autre plugin payant sur la warez ça ne peux que aidé le malware ou d'autre autre sorte d'exploit
0  1 
Traroth2
Avatar de Traroth2
Membre émérite https://www.developpez.com
Le 04/05/2015 à 13:35
Citation Envoyé par nirgal76 Voir le message
Que pensez vous de ces attaques ?
Que malgré ce que l'ont nous rabâchent, les Linux/BSD ne sont pas plus sur qu'un autre OS, ils sont juste moins attaqués (par manque d'audience). Et que comme tout OS, mal configuré/utilisé, il est vulnérable. C'est même plus dangereux car sur eux, on s'y attends moins et donc, on est moins attentif, moins prudent.
Marrant, on entend ça à chaque problème de sécurité. Les systèmes basés sur Unix ne sont pas invulnérables, mais ça ne veut pas dire qu'ils ne sont pas plus sûrs que Windows. Je ne vois d'ailleurs pas pourquoi ils seraient par principe moins attaqués : ils sont largement dominants sur les serveurs, désormais. S'ils étaient aussi vulnérables que Windows, ils seraient attaqués, bien évidemment.
1  2 
Commenter Signaler un problème