WhiteHat News #ID:2018
WhiteHat Support
-
20/03/2017
-
129
-
444 bài viết
Biến thể Mirai ảnh hưởng đến dự án mã nguồn mở
Một biến thể Mirai mới được phát hiện sử dụng một dự án mã nguồn mở khiến quá trình cross compilation (trình biên dịch chéo) trở nên rất dễ dàng.
Mirai xuất hiện lần đầu vào mùa thu năm 2016, nhắm tới hàng loạt các thiết bị IoT, biến chúng thành các botnet có khả năng phát động hàng loạt các cuộc tấn công từ chối dịch vụ phân tán (DDoS).
Hàng loạt biến thể Mirai đã xuất hiện sau khi mã nguồn độc hại bị rò rỉ vào tháng 10 năm 2016, nhắm mục tiêu đến một loạt các thiết bị với khả năng thích ứng tốt hơn. Có thể kể ra một số tên như Wicked, Satori, Okiru, Masuta...
Các nhà nghiên cứu đã phát hiện ra một biến thể Mirai tương thích với nhiều kiến trúc. Biến thể này được đánh giá nguy hiểm hơn các loại trước vì sử dụng dự án mã nguồn mở Aboriginal Linux, nền tảng này được thiết kế để khiến trình biên dịch chéo trở nên đơn giản hơn, cho phép tác giả phần mềm tạo ra các đối tượng nhắm vào nhiều kiến trúc, bao gồm ARM, MIPS, PowerPC và x86.
Rõ ràng, đây chính là lí do tại sao các nhà phát triển đứng sau biến thể Mirai mới cũng chọn Aboriginal Linux. Khi trình biên dịch sử dụng dự án mã nguồn mở, mã độc có thể thực thi được trên nhiều thiết bị, bao gồm các router, IP camera, các sản phẩm có kết nối khác và các thiết bị Android.
Một nhà nghiên cứu an ninh mạng cho biết mẫu quan sát được có tính năng tương đồng với hành vi của Mirai. Việc tiêm nhiễm bắt đầu bằng shell script trên một thiết bị dính lỗ hổng, cố gắng tải xuống và cho chạy các tệp thực thi riêng lẻ cho đến khi tệp nhị phân tương thích với các kiến trúc hiện tại được tìm thấy.
Khi thực thi trên các thiết bị bị lây nhiễm, payload của Mirai cố gắng lây lan sang các thiết bị có thông tin đăng nhập mặc định hoặc tồn tại lỗ hổng. Mẫu mới này đã được quan sát khi đang quét trên 500.000 địa chỉ IP được tạo ngẫu nhiên và cố gắng chuyển dữ liệu ở dạng thô thông qua cổng 23.
Nhà nghiên cứu trên kết luận rằng, Aboriginal Linux không phải là một dự án có mục đích xấu, mà chỉ là một ví dụ về cách những người tạo ra mã độc lợi dụng phần mềm mã nguồn mở cho những mục đích bất chính của họ.
Mirai xuất hiện lần đầu vào mùa thu năm 2016, nhắm tới hàng loạt các thiết bị IoT, biến chúng thành các botnet có khả năng phát động hàng loạt các cuộc tấn công từ chối dịch vụ phân tán (DDoS).
Hàng loạt biến thể Mirai đã xuất hiện sau khi mã nguồn độc hại bị rò rỉ vào tháng 10 năm 2016, nhắm mục tiêu đến một loạt các thiết bị với khả năng thích ứng tốt hơn. Có thể kể ra một số tên như Wicked, Satori, Okiru, Masuta...
Các nhà nghiên cứu đã phát hiện ra một biến thể Mirai tương thích với nhiều kiến trúc. Biến thể này được đánh giá nguy hiểm hơn các loại trước vì sử dụng dự án mã nguồn mở Aboriginal Linux, nền tảng này được thiết kế để khiến trình biên dịch chéo trở nên đơn giản hơn, cho phép tác giả phần mềm tạo ra các đối tượng nhắm vào nhiều kiến trúc, bao gồm ARM, MIPS, PowerPC và x86.
Rõ ràng, đây chính là lí do tại sao các nhà phát triển đứng sau biến thể Mirai mới cũng chọn Aboriginal Linux. Khi trình biên dịch sử dụng dự án mã nguồn mở, mã độc có thể thực thi được trên nhiều thiết bị, bao gồm các router, IP camera, các sản phẩm có kết nối khác và các thiết bị Android.
Một nhà nghiên cứu an ninh mạng cho biết mẫu quan sát được có tính năng tương đồng với hành vi của Mirai. Việc tiêm nhiễm bắt đầu bằng shell script trên một thiết bị dính lỗ hổng, cố gắng tải xuống và cho chạy các tệp thực thi riêng lẻ cho đến khi tệp nhị phân tương thích với các kiến trúc hiện tại được tìm thấy.
Khi thực thi trên các thiết bị bị lây nhiễm, payload của Mirai cố gắng lây lan sang các thiết bị có thông tin đăng nhập mặc định hoặc tồn tại lỗ hổng. Mẫu mới này đã được quan sát khi đang quét trên 500.000 địa chỉ IP được tạo ngẫu nhiên và cố gắng chuyển dữ liệu ở dạng thô thông qua cổng 23.
Nhà nghiên cứu trên kết luận rằng, Aboriginal Linux không phải là một dự án có mục đích xấu, mà chỉ là một ví dụ về cách những người tạo ra mã độc lợi dụng phần mềm mã nguồn mở cho những mục đích bất chính của họ.
Theo Securityweek
Chỉnh sửa lần cuối: