Mumblehard: Tausende Linux-Server als Spam-Schleuder missbraucht
Sicherheitsforscher haben eine neue Malware namens Mumblehard auf Linux-Systemen entdeckt. Sie öffnet eine Hintertür, über die Cyber-Kriminelle das System kontrollieren und Spam-Mails verschicken können.
Bereits seit 2009 soll die jetzt entdeckte Malware Mumblehard Linux-Rechner infizieren und in ein Botnetz assimilieren. Dabei setzt Mumblehard auf eine Backdoor und einen daemon, der Spam-Nachrichten versendet.
Die Entdecker der Malware, der Antiviren-Hersteller ESET, hat eigenen Angaben zufolge in einem Zeitraum von sieben Monaten Anfragen von über 8.500 IP-Adressen infizierter Linux-Computer protokollieren können. Allein in der ersten Aprilwoche dieses Jahres sprechen sie von mehr als 3.000 betroffenen Rechnern. Die Größe des Botnets soll sich innerhalb von sechs Monaten verdoppelt haben. Dabei greife Mumblehard vor allem Linux-Webserver an. Wie sich die Malware auf den Systemen einschleicht, wird nicht geschildert.
Angreifer verschleiern Schadcode
Laut einem Bericht von ESET sind beide Angriffs-Komponenten in Perl geschrieben. Mittels eines identischen Packers, der in Assembler geschrieben wurde, erzeugen die Angreifer ELF-Binaries, um den Perl-Quellcode zu kaschieren. Als Vergleich wird an dieser Stelle eine ineinander gesteckte Matroschka-Puppe genannt. Ein Aufwand, der bei durchschnittlicher Malware nicht zu beobachten ist, meinen die Sicherheitsforscher.
Admins sollten ESET zufolge ihre Linux-Server nach unerwünschten Cronjob-Einträgen durchforsten, über die sich die Backdoor alle 15 Minuten aktiviert. In der Regel findet man die Backdoor in /tmp
oder /var/tmp
. Mit der Option noexec
für das tmp-Verzeichnis lasse sich die Ausführung verhindern – das könnte jedoch zu unerwünschten Nebenwirkungen führen.
(des)