Análisis de malware
Malware Mumblehard
mayo 21, por Ninja de seguridad
Introducción
En este artículo, aprenderemos sobre un malware conocido como Mumblehard, conocido por atacar los sistemas operativos Linux y BSD. Este malware abre una puerta trasera que otorga a los ciberdelincuentes el control total de la máquina infectada.
Malware Mumblehard -Componentes
Puerta trasera de Perl
La puerta trasera de Perl solicitará comandos de su servidor de comando y control y contiene una URL a un archivo para descargar y ejecutar. Este backdoor se instala en crontab y tiene un tiempo de ejecución cada 15 minutos. En cada ejecución, se solicita un comando a cada servidor CC de la lista. Esta puerta trasera admite solo un comando
¡Conviértete en un ingeniero inverso certificado!
Obtenga capacitación práctica en vivo sobre análisis de malware desde cualquier lugar y conviértase en un analista certificado de ingeniería inversa. Comienza a aprender
0x10: descargar desde URL y ejecutar
Otra cosa importante a tener en cuenta sobre este malware es que se disfraza de httpd asignándolo como $0
$0=”httpd”;
Esta puerta trasera realiza una solicitud HTTP Get a cada servidor CC de la lista y el comando está oculto en PHPSESSID en el encabezado de respuesta. Este PHPSESSID está codificado en hexadecimal por el servidor y, en este caso, parecerá legítimo al realizar el análisis del empaquetador.
Tras el análisis, esto parece estar cifrado con el mismo algoritmo de cifrado que se utilizó anteriormente para ofuscar todo el programa. Tras el descifrado, los siguientes son los campos que están presentes en el campo PHPSESSIF:
Esta puerta trasera utiliza un agente de usuario codificado y coloca la información dentro de las cadenas del agente de usuario. A continuación se muestra el formato del agente de usuario que utiliza el cliente Mozilla:
A continuación se muestra un ejemplo de la puerta trasera que se comunica con el servidor CC de una descarga exitosa y un comando de ejecución:
Demonio spammer
Este demonio spammer enviará spam y está escrito en Perl y empaquetado dentro del binario ELF. Tiene dos formas de enviar spam que se detallan a continuación:
Comunicación con servidores CC
Los servidores CC se ejecutan en el puerto 25, pero Mumblehard espera una solicitud POST con datos binarios como contenido. Tras el análisis, a continuación se muestra el contenido de la solicitud POST en binario.
- magia
- Versión
- Dominio
- pid
- Tamaño de datos adicionales
- Datos adicionales
En esto, los datos adicionales contienen datos sobre cuántos correos electrónicos se transmitieron. Los datos contienen una identificación de trabajo, no se envió ninguno de los correos electrónicos exitosos o fallidos.
La respuesta del servidor es HTTP está bien y contiene varios campos importantes como ID del trabajo, lista de destinatarios, mensaje, tamaño del mensaje, etc.
Función de proxy
Otra forma de enviar spam es utilizar el componente proxy. Funciona simplemente escuchando las conexiones entrantes en el puerto TCP y envía notificaciones al servidor CC de que está escuchando en ese puerto. Spammer utiliza un “comando Crear conexión” para establecer conexión con el servidor CC. Se basa en el protocolo SOCKS4 y, por tanto, utiliza un túnel para el tráfico arbitrario a través del host infectado. Los campos del comando Crear conexión son los siguientes
- Dominio
- Puerto
- IP
Indicadores de compromiso
Los siguientes son los IOCS:
Solicitudes HTTP con el siguiente patrón Usuario-Agente
¡Conviértete en un ingeniero inverso certificado!
Obtenga capacitación práctica en vivo sobre análisis de malware desde cualquier lugar y conviértase en un analista certificado de ingeniería inversa. Comienza a aprender
• Mozilla/5.0 (Windows NT 6.1; rv:7.0.1) Gecko/1 o más dígitos.1 o más dígitos.1 o más dígitos Firefox/7.0.1
Referencia
- http://www.welivesecurity.com/wp-content/uploads//04/mumblehard.pdf