Botnet đào tiền ảo mới khai thác lỗ hổng SMB để lây lan trong Windows

Thảo luận trong 'Tin tức An ninh mạng' bắt đầu bởi WhiteHat News #ID:2018, 24/07/20, 03:07 PM.

  1. WhiteHat News #ID:2018

    WhiteHat News #ID:2018 WhiteHat Support

    Tham gia: 20/03/17, 10:03 AM
    Bài viết: 319
    Đã được thích: 104
    Điểm thành tích:
    43
    Các nhà nghiên cứu của Cisco Talos vừa phát hiện một chiến dịch botnet đào tiền ảo mới có khả năng lây lan rộng trong mạng bằng nhiều cách khác nhau, bao gồm cả khai thác lỗ hổng EternalBlue trong giao thức SMB của Windows.
    Mục tiêu của kẻ tấn công là đào tiền ảo Monero (XMR) và điều khiển các hệ thống để kiếm tiền.

    Prometei_1.jpg
    Botnet mới có tên là Prometei, bắt đầu hoạt động từ tháng 3/2020 và dựa trên một mã độc đa mô-đun.

    Để lây lan sang các máy tính trong mạng, tin tặc kết hợp botnet với các nhị phân LoLBin (living-off-the-land binary) như PsExec và WMI, mã khai thác SMB và các thông tin đăng nhập đánh cắp được.

    Các nhà nghiên cứu đếm được có hơn 15 thành phần trong các cuộc tấn công Prometei, tất cả đều được quản lý bởi một mô-đun chính. Mô-đun này mã hóa dữ liệu (RC4) trước khi gửi đến máy chủ C&C qua HTTP.

    Theo Cisco Talos: “Ngoài việc tập trung chính vào lây lan trong mạng, Prometei cũng thử khôi phục mật khẩu quản trị. Các mật khẩu bị phát hiện sẽ được gửi đến máy chủ C&C và sau đó được tái sử dụng bởi các mô-đun khác nhằm xác thực mật khẩu trên các hệ thống sử dụng giao thức SMB và RDP”.
    Prometei_2.jpg

    Truy vết các hoạt động của botnet, các nhà nghiên cứu nhận thấy mô-đun của nó chia làm hai loại với mục đích riêng: điều hành việc đào tiền ảo (thả mã độc đào tiền ảo và lây lan trong mạng) và chiếm quyền đăng nhập bằng cách brute-force mật khẩu sử dụng SMB và RDP.

    Prometei đánh cắp mật khẩu bằng công cụ Mimikatz đã được chỉnh sửa (miwalk.exe). Những mật khẩu bị đánh cắp sẽ được chuyển đến mô-đun phân phối (spreader - rdpclip.exe) để phân tích và xác thực theo phiên SMB.

    Nếu mật khẩu sai, mô-đun này sẽ khởi chạy một biến thể của lỗ hổng EternalBlue để phát tán và khởi chạy mô-đun chính (svchost.exe). Nhà nghiên cứu mã độc Vanja Svajcer cho biết tác giả của botnet cũng biết về lỗ hổng SMBGhost, dù chưa có bằng chứng của việc khai thác.

    Payload cuối cùng được phát tán trên hệ thống bị xâm nhập là SearchIndexer.exe, phiên bản 5.5.3 của phần mềm đào tiền ảo Monero mã nguồn mở XMRig.

    Điểm khác biệt của botnet Prometei

    Prometei không giống như các botnet đào tiền ảo khác. Ngoài việc vận hành các công cụ theo mục đích của cuộc tấn công, nó còn có tính năng tránh bị phát hiện và phân tích.

    Kẻ tạo ra Prometei đã thêm các lớp đánh rối từ các phiên bản botnet trước đó nhưng phát triển phức tạp hơn trong các biến thể sau này. Mô-đun chính lây lan trong mạng dưới các tên khác nhau ("xsvc.exe," "zsvc.exe") và sử dụng trình đóng gói khác nhau tùy vào file bên ngoài để được giải nén đúng cách.

    Ngoài ra, Prometei còn có thể giao tiếp với máy chủ C&C sử dụng các proxy TOR hoặc I2P để nhận hướng dẫn và gửi dữ liệu đánh cắp ra ngoài.

    Các nhà nghiên cứu cho biết mô-đun chính cũng có thể được dùng như một trojan truy cập từ xa, dù chức năng chính là đào tiền ảo Monero và có thể đánh cắp các ví Bitcoin.

    Chiến dịch botnet Prometei đã xuất hiện tại các nước Mỹ, Brazil, Pakistan, Trung Quốc, Mexico và Chile. Trong bốn tháng, tin tặc đã kiếm được không dưới 5.000 USD (trên 100 triệu VNĐ), trung bình khoảng 1.250 USD một tháng.

    Dựa vào cách thức lây lan toàn mạng và các mô-đun sử dụng, Svajcer tin rằng đứng sau Prometei có thể là một đơn vị phát triển botnet chuyên nghiệp đến từ Đông Âu.

    Theo Bleeping Computer
     
    Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan