Ginny Hà
VIP Members
-
04/06/2014
-
88
-
689 bài viết
Botnet DDoS tạo bởi các thiết bị IoT nhiễm mã độc LizardStresser
LizardStresser – mã độc lây nhiễm Linux được xây dựng bởi nhóm tin tặc “khét tiếng” Lizard Squad đã được sử dụng trong năm qua để tạo ra hơn 100 botnet. Một số trong đó được tạo hoàn toàn bởi các thiết bị IoT nhiễm mã độc.
LizardStresser gồm hai thành phần: Một máy khách chạy trên thiết bị Linux đã bị xâm nhập và một máy chủ được tin tặc sử dụng để kiểm soát các máy khách đó. Mã độc có thể thực hiện vài hình thức tấn công từ chối dịch vụ phân tán (DDoS), thực thi các lệnh shell và lây lan tới các hệ thống khác qua giao thức telnet bằng cách thử thông tin mặc định hoặc thông tin đã hard-code.
Đoạn mã của LizardStresser được công bố từ đầu năm 2015, tạo cơ hội cho những hacker không cần “tay nghề cao” cũng có thể tự tạo botnet DDoS cho mình. Cũng từ đó, số lượng máy chủ C&C LizardStresser tăng nhanh. Đặc biệt tới tháng 6 năm nay, con số máy chủ đạt trên 100.
Các bot DDoS rất linh hoạt, với phiên bản dành cho CPU x86 cũng như cho ARM và MIPS, vốn được sử dụng phổ biến trên các thiết bị lây nhiễm.
Các thiết bị IoT có thể là bot hoàn hảo cho tấn công DDoS, bởi các thiết bị này chạy một số phiên bản quen thuộc của Linux, tài nguyên giới hạn nên thường không trang bị tính năng an ninh nghiêm ngặt hay cơ chế phát hiện phần mềm độc hại. Ngoài ra, khi kết nối trực tiếp với Internet, các thiết bị IoT thường không bị giới hạn băng thông hay bị cản bởi tường lửa.
“Việc tái sử dụng phần mềm và phần cứng là rất phổ biến trong lĩnh vực IoT để đơn giản hóa và tiết kiệm chi phí. Do đó, các thông tin mặc định được sử dụng để tạo một sản phẩm ban đầu có thể sau đó sẽ tiếp tục được sử dụng lại vào các thiết bị sau”, các chuyên gia Arbor Networks cho biết.
Các botnet IoT có thể rất mạnh. Các chuyên gia đã kiểm chứng 2 trong số các botnet được sử dụng để thực hiện tấn công nhắm tới các ngân hàng, công ty viễn thông và tổ chức chính phủ tại Brazil, cũng như 3 công ty game tại Mỹ.
Một trong những cuộc tấn công này đạt hơn 400Gbps và 90% các máy chủ phát tán lưu lượng độc hại phản hồi qua HTTP với giao diện web được gọi là NETSurveillance WEB.
Đây không phải lần đầu tiên các botnet từ thiết bị IoT được sử dụng để thực hiện tấn công DDoS. Các chuyên gia Sucuri mới đây cũng thông báo cuộc tấn công DDoS tạo bởi một botnet với hơn 25.000 camera và đầu ghi video kỹ thuật số CCTV.
LizardStresser gồm hai thành phần: Một máy khách chạy trên thiết bị Linux đã bị xâm nhập và một máy chủ được tin tặc sử dụng để kiểm soát các máy khách đó. Mã độc có thể thực hiện vài hình thức tấn công từ chối dịch vụ phân tán (DDoS), thực thi các lệnh shell và lây lan tới các hệ thống khác qua giao thức telnet bằng cách thử thông tin mặc định hoặc thông tin đã hard-code.
Đoạn mã của LizardStresser được công bố từ đầu năm 2015, tạo cơ hội cho những hacker không cần “tay nghề cao” cũng có thể tự tạo botnet DDoS cho mình. Cũng từ đó, số lượng máy chủ C&C LizardStresser tăng nhanh. Đặc biệt tới tháng 6 năm nay, con số máy chủ đạt trên 100.
Các bot DDoS rất linh hoạt, với phiên bản dành cho CPU x86 cũng như cho ARM và MIPS, vốn được sử dụng phổ biến trên các thiết bị lây nhiễm.
Các thiết bị IoT có thể là bot hoàn hảo cho tấn công DDoS, bởi các thiết bị này chạy một số phiên bản quen thuộc của Linux, tài nguyên giới hạn nên thường không trang bị tính năng an ninh nghiêm ngặt hay cơ chế phát hiện phần mềm độc hại. Ngoài ra, khi kết nối trực tiếp với Internet, các thiết bị IoT thường không bị giới hạn băng thông hay bị cản bởi tường lửa.
“Việc tái sử dụng phần mềm và phần cứng là rất phổ biến trong lĩnh vực IoT để đơn giản hóa và tiết kiệm chi phí. Do đó, các thông tin mặc định được sử dụng để tạo một sản phẩm ban đầu có thể sau đó sẽ tiếp tục được sử dụng lại vào các thiết bị sau”, các chuyên gia Arbor Networks cho biết.
Các botnet IoT có thể rất mạnh. Các chuyên gia đã kiểm chứng 2 trong số các botnet được sử dụng để thực hiện tấn công nhắm tới các ngân hàng, công ty viễn thông và tổ chức chính phủ tại Brazil, cũng như 3 công ty game tại Mỹ.
Một trong những cuộc tấn công này đạt hơn 400Gbps và 90% các máy chủ phát tán lưu lượng độc hại phản hồi qua HTTP với giao diện web được gọi là NETSurveillance WEB.
Đây không phải lần đầu tiên các botnet từ thiết bị IoT được sử dụng để thực hiện tấn công DDoS. Các chuyên gia Sucuri mới đây cũng thông báo cuộc tấn công DDoS tạo bởi một botnet với hơn 25.000 camera và đầu ghi video kỹ thuật số CCTV.
Nguồn: ComputerWorld