GRATUIT

Vos offres d'emploi informatique

Développeurs, chefs de projets, ingénieurs, informaticiens
Postez gratuitement vos offres d'emploi ici visibles par 4 000 000 de visiteurs uniques par mois

emploi.developpez.com

ESET découvre le malware Mumblehard
Après cinq ans d'infection des serveurs Linux et FreeBSD

Le , par Olivier Famien, Chroniqueur Actualités
Le cabinet de sécurité informatique ESET vient de mettre au grand jour un malware baptisé Mumblehard. Ce dernier a infecté des milliers de serveurs Linux et FreeBSD pendant la moitié d’une décennie en envoyant des messages indésirables à partir des machines infectées.

C’est en cherchant à résoudre le problème d’un administrateur système dont le serveur avait été mis sur liste noire pour envoi de spams qu’ESET a découvert Linux/Mumblehard. En approfondissant les recherches, les techniciens ont pu s’apercevoir que Mumblehard qui est une famille de logiciels malveillants se présente sous deux composants.

Le premier qui contient les adresses distantes des exécutables à télécharger est en fait une porte dérobée exécutant des requêtes vers le serveur de C&C. La seconde partie est un démon complet qui envoie des spams. Ces malwares ont pu jusque-là sévir en toute impunité à cause du fait que les deux parties qui sont codées en Perl ont été cachées à l’intérieur d’un binaire ELF d’environ deux instructions.

Plus en détail, on constate que le composant qui agit comme une porte dérobée est chargé d’envoyer des requêtes aux serveurs C&C afin de demander des commandes et confirmer le succès de l’exécution. La seule commande qu’elle effectue en boucle est de télécharger l’adresse et de l’exécuter. Pour ce faire, le composant utilise un agent codé en dur semblable à celui utilisé par Firefox 7.01 tournant sur Windows 7. Il est de ce type:

Code : Sélectionner tout
Mozilla/5.0 (Windows NT 6.1; rv:7.0.1) Gecko/20100101 Firefox/7.0.1
Après avoir exécuté la commande, Mumblehard demande à chaque serveur C&C répertorié sur une liste si le fichier a été exécuté ou non. Cette opération est effectuée en intégrant les résultats dans l’agent qui se présentera comme suit après exécution des commandes.

Code : Sélectionner tout
Mozilla/5.0 (Windows NT 6.1; rv:7.0.1) Gecko/<command_id>.<http_status>.<downloaded_file_size> Firefox/7.0.1
En ce qui concerne le second composant, il envoie des spams à partir des serveurs en utilisant un proxy générique. Il écoute les connexions entrantes sur le port TCP et envoie une notification au serveur C&C à partir de ce même port. À ce niveau, seules deux commandes peuvent être envoyées aux hosts infectés. Ce sont l’ajout d’adresses IP à la liste des ordinateurs déjà infectés et la création d’un nouveau tunnel TCP. Le serveur C&C quant à lui fonctionne avec le port 25.

Pour un résumé du schéma d’exécution, on peut se référer au graphe ci-dessous.


Il faut souligner que Mumblehard intègre des lignes de code compatibles uniquement avec les systèmes d’exploitation Linux, FreeBSD et Windows. Toutefois, le binaire ELF qui n’est pas compatible avec Windows ne pourra pas s’exécuter sur cette plateforme et donc l’infecter par ce moyen. Néanmoins, il n’est pas exclu que les scripts Perl soient utilisés sans le binaire EFL ou avec un binaire compatible Windows.

Source : ESET News (pdf)

Et vous ?

Que pensez vous de ces attaques ?

Qui pensez-vous peut en être l'auteur ?


Vous avez aimé cette actualité ? Alors partagez-la avec vos amis en cliquant sur les boutons ci-dessous :


 Poster une réponse

Avatar de marsupial marsupial - Membre éprouvé https://www.developpez.com
le 01/05/2015 à 12:41
Une véritable oeuvre d'art pour tout hacker qui se respecte. Un véritable calvaire à retirer pour tout hacker qui se respecte.

Procédure d'épuration en cours et je dirai que l'(es)auteur(s) viennent du Darkweb.
Avatar de steel-finger steel-finger - Membre habitué https://www.developpez.com
le 01/05/2015 à 14:44
C'est même sur qu'ils viennent du DarkWeb.
Avatar de TiranusKBX TiranusKBX - Expert confirmé https://www.developpez.com
le 01/05/2015 à 15:54
vous avez vus les vecteurs d'infection ?
Citation Envoyé par le pdf
Based on the server where we made the discovery and the list of systems we have identified as
infected, there are two plausible infection vectors used to spread Mumblehard. The most popular
vector seems to be the use of Joomla and Wordpress exploits. The other is through the distribution
of backdoored "pirated" copies of a Linux and BSD program known as DirectMailer, software that
Yellsoft sells on their website for $240. The pirated copies actually install the Mumblehard backdoor
(described later) that allows the operators to install additional malware. More details about this
method of distribution are given in the "Cracked" DirectMailer section.

donc c'est soit des failles de cms soit on à été suffisamment stupide pour télécharger un logiciel par l'intermédiaire d'une société louche
mais alors tout repose sur de mauvais choix humains
Avatar de steel-finger steel-finger - Membre habitué https://www.developpez.com
le 01/05/2015 à 19:33
J'ai jamais eu ce problème, oui comme tu le dit je pense que les gens qui télécharge les thèmes cms ou autre plugin payant sur la warez ça ne peux que aidé le malware ou d'autre autre sorte d'exploit
Avatar de nirgal76 nirgal76 - Membre expérimenté https://www.developpez.com
le 04/05/2015 à 11:36
Que pensez vous de ces attaques ?
Que malgré ce que l'ont nous rabâchent, les Linux/BSD ne sont pas plus sur qu'un autre OS, ils sont juste moins attaqués (par manque d'audience). Et que comme tout OS, mal configuré/utilisé, il est vulnérable. C'est même plus dangereux car sur eux, on s'y attends moins et donc, on est moins attentif, moins prudent.
Avatar de Traroth2 Traroth2 - Expert éminent sénior https://www.developpez.com
le 04/05/2015 à 13:35
Citation Envoyé par nirgal76  Voir le message
Que pensez vous de ces attaques ?
Que malgré ce que l'ont nous rabâchent, les Linux/BSD ne sont pas plus sur qu'un autre OS, ils sont juste moins attaqués (par manque d'audience). Et que comme tout OS, mal configuré/utilisé, il est vulnérable. C'est même plus dangereux car sur eux, on s'y attends moins et donc, on est moins attentif, moins prudent.

Marrant, on entend ça à chaque problème de sécurité. Les systèmes basés sur Unix ne sont pas invulnérables, mais ça ne veut pas dire qu'ils ne sont pas plus sûrs que Windows. Je ne vois d'ailleurs pas pourquoi ils seraient par principe moins attaqués : ils sont largement dominants sur les serveurs, désormais. S'ils étaient aussi vulnérables que Windows, ils seraient attaqués, bien évidemment.
Avatar de AoCannaille AoCannaille - Membre expérimenté https://www.developpez.com
le 04/05/2015 à 14:03
Citation Envoyé par Traroth2  Voir le message
Je ne vois d'ailleurs pas pourquoi ils seraient par principe moins attaqués : ils sont largement dominants sur les serveurs, désormais. S'ils étaient aussi vulnérables que Windows, ils seraient attaqués, bien évidemment.

Pour ma part je pense que les utilisateurs des OS linux sur serveurs sont bien formés et du coup limitent énormément les risque (séparation forme entre les droit root et les autres). Donc les erreurs humaines sont moins "flagrantes" ou "intuitives" et limitent les axes d'attaques.

Pour relier mon point de vu à ce que disais nirgal76 :
[...]Et que comme tout OS, mal configuré/utilisé, il est vulnérable.

Je pense que du coup, le pourcentage de PC/serveur Linux mal configuré/utilisé par rapport au parc complet est bien inférieur au même pourcentage sous Windows.

D'autant plus que la grosse majorité des serveurs se trouvent dans des parcs avec des surcouches de protections à l’extérieures de l'OS en lui même (protection anti-ddos OVH, Firewall ultra personnalisé etc...)
Avatar de Traroth2 Traroth2 - Expert éminent sénior https://www.developpez.com
le 04/05/2015 à 16:34
Citation Envoyé par AoCannaille  Voir le message
Pour ma part je pense que les utilisateurs des OS linux sur serveurs sont bien formés et du coup limitent énormément les risque (séparation forme entre les droit root et les autres). Donc les erreurs humaines sont moins "flagrantes" ou "intuitives" et limitent les axes d'attaques.

Pour relier mon point de vu à ce que disais nirgal76 :

Je pense que du coup, le pourcentage de PC/serveur Linux mal configuré/utilisé par rapport au parc complet est bien inférieur au même pourcentage sous Windows.

D'autant plus que la grosse majorité des serveurs se trouvent dans des parcs avec des surcouches de protections à l’extérieures de l'OS en lui même (protection anti-ddos OVH, Firewall ultra personnalisé etc...)

Ah, mais ça, c'est indiscutable. Si l'utilisateur ne fait pas un minimum attention, le système sera toujours vulnérable. C'est totalement impossible de sécuriser un système sans que l'utilisateur soit prudent. Pour faire une analogie, ce n'est pas la peine d'acheter une porte blindée si on la laisse entrebâillée en partant au boulot le matin...
Avatar de AoCannaille AoCannaille - Membre expérimenté https://www.developpez.com
le 04/05/2015 à 19:28
Citation Envoyé par Traroth2  Voir le message
Ah, mais ça, c'est indiscutable. Si l'utilisateur ne fait pas un minimum attention, le système sera toujours vulnérable. C'est totalement impossible de sécuriser un système sans que l'utilisateur soit prudent. Pour faire une analogie, ce n'est pas la peine d'acheter une porte blindée si on la laisse entrebâillée en partant au boulot le matin...

Ce que je veux dire, pour reprendre ton analogie, c'est que l'illusion du fait que Linux serait plus sécurisé que Windows vient du fait que (chiffres au pif) 60% des utilisateurs Windows laissent leur porte entrebâillée pour 2% des utilisateurs linux.
Avatar de sadskull sadskull - Nouveau Candidat au Club https://www.developpez.com
le 12/05/2015 à 18:31
Ce que je veux dire, pour reprendre ton analogie, c'est que l'illusion du fait que Linux serait plus sécurisé que Windows vient du fait que (chiffres au pif) 60% des utilisateurs Windows laissent leur porte entrebâillée pour 2% des utilisateurs linux.

Et pour pousser l'analogie, même si 100% des utilisateurs windows fermaient leur porte, une porte en carton reste une porte en carton.
Offres d'emploi IT
Ingénieur intégration, validation, qualification du système de drone H/F
Safran - Ile de France - Éragny (95610)
Spécialiste systèmes informatiques qualité et référent procédure H/F
Safran - Ile de France - Colombes (92700)
Responsable transverse - engagement métiers H/F
Safran - Ile de France - Corbeil-Essonnes (91100)

Voir plus d'offres Voir la carte des offres IT
Contacter le responsable de la rubrique Accueil