WhiteHat News #ID:2017
VIP Members
-
20/03/2017
-
113
-
356 bài viết
Biến thể Mirai thiết lập các máy chủ proxy trên thiết bị bị tấn công
Theo cảnh báo của Fortinet, một biến thể mới của botnet Mirai có khả năng thiết lập máy chủ proxy trên các thiết bị IoT bị lây nhiễm.
Mirai là một dòng mã độc nổi lên vào cuối năm 2016 và được dùng trong các cuộc tấn công DDoS. Nhắm mục tiêu vào các thiết bị IoT để thiết lập mạng lưới botnet, ngay từ lúc mới xuất hiện Mirai đã gây ra nhiều sự cố nghiêm trọng.
Được gọi là OMG vì các chuỗi có chứa "OOMGA", ngoài việc giữ lại hầu hết các thuộc tính của Mirai, malware này còn có các tính năng mới.
Theo phát hiện của công ty Fortinet, điểm khác biệt với Mirai là cấu hình của biến thể OMG bao gồm hai string được dùng để thêm một quy tắc tường lửa, cho phép lưu lượng truy cập trên hai cổng ngẫu nhiên.
Tuy nhiên, biến thể này vẫn giữ những cách thức tấn công, tiêu diệt và các module quét vốn có của Mirai hay nói cách khác nó có thể thực hiện tất cả các hành động như Mirai (telnet, ssh, http và các tiến trình khác liên quan đến các bot khác), tấn công telnet brute-force và DDoS.
Sau khi khởi tạo, OMG kết nối với máy chủ C&C trên cổng 50023. Khi kết nối đã được thiết lập, malware sẽ gửi một thông điệp dữ liệu xác định đến máy chủ để xác nhận chính nó như một bot mới.
Máy chủ phản hồi bằng chuỗi dữ liệu dài 5 byte, trong đó byte đầu tiên là một lệnh về cách thức sử dụng thiết bị mới bị lây nhiễm: 0 nếu nó được sử dụng như là một máy chủ proxy, 1 cho tấn công và > 1 để kết thúc kết nối.
OMG sử dụng phần mềm mã nguồn mở 3proxy. Trong quá trình thiết lập, nó tạo ra hai cổng ngẫu nhiên cho http_proxy_port và socks_proxy_port, thông báo chúng cho C&C và thêm quy tắc tường lửa để cho phép lưu lượng trên các cổng này.
Sau khi bật quy tắc tường lửa, malware sẽ thiết lập 3proxy với cấu hình được cài đặt sẵn trong mã. Các nhà nghiên cứu tin rằng những kẻ tấn công bán quyền truy cập vào máy chủ proxy IoT (vì máy chủ C&C không hoạt động trong quá trình điều tra, các nhà nghiên cứu chỉ thực hiện được phân tích tĩnh).
Hãng Fortinet cho rằng đây là lần đầu tiên phát hiện được một biến thể Mirai có khả năng tấn công DDOS cũng như cài đặt các máy chủ proxy trên các thiết bị IoT tồn tại lỗ hổng. “Với sự phát triển này, chúng tôi tin rằng sẽ ngày càng có nhiều bot dựa trên Mirai xuất hiện cùng các cách thức kiếm tiền mới”.
Được gọi là OMG vì các chuỗi có chứa "OOMGA", ngoài việc giữ lại hầu hết các thuộc tính của Mirai, malware này còn có các tính năng mới.
Theo phát hiện của công ty Fortinet, điểm khác biệt với Mirai là cấu hình của biến thể OMG bao gồm hai string được dùng để thêm một quy tắc tường lửa, cho phép lưu lượng truy cập trên hai cổng ngẫu nhiên.
Tuy nhiên, biến thể này vẫn giữ những cách thức tấn công, tiêu diệt và các module quét vốn có của Mirai hay nói cách khác nó có thể thực hiện tất cả các hành động như Mirai (telnet, ssh, http và các tiến trình khác liên quan đến các bot khác), tấn công telnet brute-force và DDoS.
Sau khi khởi tạo, OMG kết nối với máy chủ C&C trên cổng 50023. Khi kết nối đã được thiết lập, malware sẽ gửi một thông điệp dữ liệu xác định đến máy chủ để xác nhận chính nó như một bot mới.
Máy chủ phản hồi bằng chuỗi dữ liệu dài 5 byte, trong đó byte đầu tiên là một lệnh về cách thức sử dụng thiết bị mới bị lây nhiễm: 0 nếu nó được sử dụng như là một máy chủ proxy, 1 cho tấn công và > 1 để kết thúc kết nối.
OMG sử dụng phần mềm mã nguồn mở 3proxy. Trong quá trình thiết lập, nó tạo ra hai cổng ngẫu nhiên cho http_proxy_port và socks_proxy_port, thông báo chúng cho C&C và thêm quy tắc tường lửa để cho phép lưu lượng trên các cổng này.
Sau khi bật quy tắc tường lửa, malware sẽ thiết lập 3proxy với cấu hình được cài đặt sẵn trong mã. Các nhà nghiên cứu tin rằng những kẻ tấn công bán quyền truy cập vào máy chủ proxy IoT (vì máy chủ C&C không hoạt động trong quá trình điều tra, các nhà nghiên cứu chỉ thực hiện được phân tích tĩnh).
Hãng Fortinet cho rằng đây là lần đầu tiên phát hiện được một biến thể Mirai có khả năng tấn công DDOS cũng như cài đặt các máy chủ proxy trên các thiết bị IoT tồn tại lỗ hổng. “Với sự phát triển này, chúng tôi tin rằng sẽ ngày càng có nhiều bot dựa trên Mirai xuất hiện cùng các cách thức kiếm tiền mới”.
Theo Securityweek