FILELESS WORM XÂY DỰNG BOTNET NGANG HÀNG P2P, TẠO BACKDOOR VÀ KHAI THÁC TIỀN ĐIỆN TỬ

TNP
11:23 27/08/2020

 

Một fileless worm có tên là FritzFrog đã được tìm thấy đang điều khiển các thiết bị Linux - máy chủ công ty, bộ định tuyến và thiết bị IoT – những thiết bị có SSH thành một mạng botnet ngang hàng (P2P) với mục tiêu rõ ràng là khai thác tiền điện tử.

(Fileless worm là một loại phần mềm độc hại nhưng nó lưu trữ bản thân ở trên RAM, bộ nhớ bị xóa sạch khi tắt máy tính. Do vậy, rất khó để phát hiện và pháp chứng những mẫu worm này -ND)

Tuy nhiên, phần mềm độc hại này đồng thời tạo ra một backdoor trên các máy nạn nhân, cho phép những kẻ tấn công có thể truy cập lại hệ thống sau đó ngay cả khi mật khẩu SSH đã được thay đổi.

“Khi nhìn vào số lượng mã dành cho mô-đun khai thác tiền điện tử, so với mô-đun P2P và mô-đun sâu máy tính ('cracker') - chúng tôi có thể nói rằng những kẻ tấn công quan tâm nhiều đến việc truy cập vào các máy chủ bị tấn công hơn là kiếm lợi nhuận thông qua đào tiền ảo( Monero)” Trích lời trưởng nhóm nghiên cứu của Guardicore Labs, Ophir Harpaz nói với Help Net Security.

“Việc truy cập và kiểm soát các máy chủ SSH này có thể có ích hơn nhiều so với việc lây lan phần mềm đào tiền ảo. Bởi vì malware này có đủ quyền để chạy bất kì tập tin nào trên máy nạn nhân, có thể botnet này được bán trong darknet và giúp những người khai thác FritzFrog này đạt được mục đích, đáp ứng mọi yêu cầu bất hợp pháp của nó.”

 

Mục tiêu của FritzFrog

FritzFrog, là một worm  theo dạng mô-đun, đa luồng và fileless,cố gắng phát triển thành một mạng botnet ngang hàng (P2P) đa chức năng, bằng cách đột nhập vào các địa chỉ IP công cộng, bỏ qua các phạm vi đã biết được lưu cho các địa chỉ riêng.

Mạng botnet có nodes(các nút) trên toàn cầu:

Harpaz giải thích: “Trong khi nghe lén mạng FritzFrog P2P, chúng tôi đã thấy danh sách mục tiêu bao gồm các địa chỉ IP tuần tự, dẫn đến việc quét các dải IP trên internet rất có hệ thống”.

Kể từ tháng 1 năm 2020, FritzFrog đã nhắm mục tiêu địa chỉ IP của các văn phòng chính phủ, tổ chức giáo dục, trung tâm y tế, ngân hàng và nhiều công ty viễn thông, và nó đã phá vỡ thành công hơn 500 máy chủ SSH.

Phần mềm độc hại chuyên nghiệp

Được viết bằng ngôn ngữ Golang, phần mềm độc hại dường như là tác phẩm của các nhà phát triển phần mềm chuyên nghiệp:

 

Những thứ khác khiến mã độc này trở nên mạnh mẽ:

 

“Ngay cả với cách gửi lệnh sáng tạo này, quá trình vẫn hoàn toàn tự động và vẫn chạy dưới sự kiểm soát của phần mềm độc hại. Ngay cả sau khi tạo kênh P2P này cho máy chủ mới bị nhiễm, phần mềm độc hại vẫn tiếp tục cung cấp lệnh cho nạn nhân ”, Harpaz lưu ý.

 

Tuy nhiên, rất có thể các lệnh thủ công, do con người vận hành được gửi đến các mạng ngang hàng. Để chặn mạng, các nhà nghiên cứu Guardicore Labs đã phát triển một chương trình trao đổi  khóa với phần mềm độc hại và có khả năng gửi lệnh và nhận kết quả đầu ra của chúng. Chương trình này cho phép chúng tôi điều tra bản chất và phạm vi của mạng, có thể tham gia vào mạng bằng cách “tiêm” các nút của chính mình và tham gia vào lưu lượng P2P đang diễn ra.

 

Kiểm tra xem máy của bạn có phải là một phần của mạng botnet hay không:

Việc phát hiện phần mềm đào tiền ảo trên máy máy chủ SSH không phải là bằng chứng cho thấy máy của bạn đã bị nhiễm, vì phần mềm độc hại sẽ kiểm tra xem máy có thể khai thác hay không.

Guardicore Labs cung cấp tập lệnh phát hiện FritzFrog để chạy trên máy chủ SSH. Tập tin này giúp tìm kiếm các chỉ số FritzFrog về việc phần mềm độc hại đang lắng nghe trên cổng 1234 và lưu lượng TCP qua cổng 5555 (lưu lượng mạng đến mỏ đào Monero).

Khi khởi động lại máy/ các thiết bị bị ảnh hưởng sẽ xóa phần mềm độc hại khỏi bộ nhớ và chấm dứt quá trình hoạt động của phần mềm độc hại đó, tuy nhiên nạn nhân ngay lập tức được đăng nhập vào mạng P2P lại với thông tin đăng nhập của nó, nó sẽ bị nhiễm lại ngay lập tức.

Thay vào đó, quản trị viên nên:

Nguồn tham khảo: https://www.helpnetsecurity.com/2020/08/19/fileless-worm-p2p-botnet/

 

 

 

TIN LIÊN QUAN
Các dự án trên Xcode đang được khai thác để lan truyền một dạng phần mềm độc hại trên Mac có nguy cơ xâm phạm Safari và các trình duyệt khác   Trend Micro cho biết: các nhóm phần mềm độc hại XCSSET đã được tìm thấy trong các dự...
  Các nhà nghiên cứu: “Nói cách khác, mã PIN vô dụng trong các giao dịch không tiếp xúc (không chạm – contactless payment) với thẻ Visa.” Một nhóm nghiên cứu học thuật từ Thụy Sĩ đã phát hiện ra một lỗi bảo mật có thể bị lạm dụng để...
  TeamTNT đã trở thành botnet đầu tiên xây dựng được mạng lưới khai thác tiền điên tử có thể quét và đánh cắp thông tin đăng nhập AWS. (TeamTNT đặt logo của mình trên máy chủ mà nó lây nhiễm) Những nhà nghiên cứu về bảo mật đã phát...