Malware Mumblehard

En este artículo, aprenderemos sobre un malware conocido como Mumblehard, conocido por atacar los sistemas operativos Linux y BSD. Este malware abre una puerta trasera que otorga a los ciberdelincuentes el control total de la máquina infectada.

Malware Mumblehard -Componentes

• Puerta trasera de Perl

  La puerta trasera de Perl solicitará comandos de su servidor de comando y control y contiene una URL a un archivo para descargar y ejecutar. Este backdoor se instala en crontab y tiene un tiempo de ejecución cada 15 minutos. En cada ejecución, se solicita un comando a cada servidor CC de la lista. Esta puerta trasera admite solo un comando

  ¡Conviértete en un ingeniero inverso certificado!

  Obtenga capacitación práctica en vivo sobre análisis de malware desde cualquier lugar y conviértase en un analista certificado de ingeniería inversa. Comienza a aprender

  0x10: descargar desde URL y ejecutar

  Otra cosa importante a tener en cuenta sobre este malware es que se disfraza de httpd asignándolo como $0

  $0=»httpd»;

  Esta puerta trasera realiza una solicitud HTTP Get a cada servidor CC de la lista y el comando está oculto en PHPSESSID en el encabezado de respuesta. Este PHPSESSID está codificado en hexadecimal por el servidor y, en este caso, parecerá legítimo al realizar el análisis del empaquetador.

Tras el análisis, esto parece estar cifrado con el mismo algoritmo de cifrado que se utilizó anteriormente para ofuscar todo el programa. Tras el descifrado, los siguientes son los campos que están presentes en el campo PHPSESSIF:

• URL: campo URL donde se almacena el archivo
• Longitud de la URL: URL en bytes para obtener el ejecutable
• ID: este valor indica que el valor lo establece el servidor CC al recibir el comando y siempre es 0x18.
• Comando: descargue el archivo en la URL y ejecútelo.
• Valor de tiempo de espera: valor de tiempo de espera en segundos para obtener la respuesta de la URL o del servidor CC.
• Nombre de archivo: nombre de archivo real que se descargará y ejecutará
• Longitud del nombre del archivo: longitud en bytes del nombre del archivo.

Esta puerta trasera utiliza un agente de usuario codificado y coloca la información dentro de las cadenas del agente de usuario. A continuación se muestra el formato del agente de usuario que utiliza el cliente Mozilla:

A continuación se muestra un ejemplo de la puerta trasera que se comunica con el servidor CC de una descarga exitosa y un comando de ejecución:

• Demonio spammer

  Este demonio spammer enviará spam y está escrito en Perl y empaquetado dentro del binario ELF. Tiene dos formas de enviar spam que se detallan a continuación:

  • Comunicación con servidores CC

    Los servidores CC se ejecutan en el puerto 25, pero Mumblehard espera una solicitud POST con datos binarios como contenido. Tras el análisis, a continuación se muestra el contenido de la solicitud POST en binario.

    • magia
    • Versión
    • Dominio
    • pid
    • Tamaño de datos adicionales
    • Datos adicionales

    En esto, los datos adicionales contienen datos sobre cuántos correos electrónicos se transmitieron. Los datos contienen una identificación de trabajo, no se envió ninguno de los correos electrónicos exitosos o fallidos.

    La respuesta del servidor es HTTP está bien y contiene varios campos importantes como ID del trabajo, lista de destinatarios, mensaje, tamaño del mensaje, etc.

  • Función de proxy

    Otra forma de enviar spam es utilizar el componente proxy. Funciona simplemente escuchando las conexiones entrantes en el puerto TCP y envía notificaciones al servidor CC de que está escuchando en ese puerto. Spammer utiliza un «comando Crear conexión» para establecer conexión con el servidor CC. Se basa en el protocolo SOCKS4 y, por tanto, utiliza un túnel para el tráfico arbitrario a través del host infectado. Los campos del comando Crear conexión son los siguientes

    • Dominio
    • Puerto
    • IP

Indicadores de compromiso

Los siguientes son los IOCS:

• Para puerta trasera: conexión TCP al puerto 80 194.54.81.163
• Para proxy: conexión TCP al puerto 194.54.81.163 54321
• Para Spammer: conexión TCP al puerto 25 194.54.81.163/164
• Paquetes UDP al puerto 53 194.54.81.162

Solicitudes HTTP con el siguiente patrón Usuario-Agente

¡Conviértete en un ingeniero inverso certificado!

Obtenga capacitación práctica en vivo sobre análisis de malware desde cualquier lugar y conviértase en un analista certificado de ingeniería inversa. Comienza a aprender

• Mozilla/5.0 (Windows NT 6.1; rv:7.0.1) Gecko/1 o más dígitos.1 o más dígitos.1 o más dígitos Firefox/7.0.1

Referencia

• http://www.welivesecurity.com/wp-content/uploads//04/mumblehard.pdf