WhiteHat News #ID:2112
VIP Members
-
16/06/2015
-
83
-
672 bài viết
Botnet Gitpaste-12 lây lan bằng cách khai thác 12 lỗ hổng cũ
Các nhà nghiên cứu đã phát hiện ra một mạng botnet mới có tên là Gitpaste-12. Tên của botnet này xuất phát từ cách sử dụng GitHub và Pastebin để lưu trữ mã thành phần và 12 lỗ hổng mà nó khai thác để xâm nhập hệ thống.
Gitpaste-12 có sẵn 12 mô-đun tấn công độc đáo, tuy nhiên theo các nhà nghiên cứu, botnet này đang tiếp tục phát triển. Mục tiêu hiện tại của nó là các máy chủ x86 dựa trên Linux và các thiết bị IoT dựa trên ARM và MIPS.
Trong giai đoạn đầu tiên của cuộc tấn công, Gitpaste-12 cố gắng sử dụng các cách khai thác đã biết để xâm nhập các hệ thống mục tiêu và đánh cắp mật khẩu. Sau đó, phần mềm độc hại tải xuống một tập lệnh từ Pastebin, điều này được lặp lại sau mỗi phút. Đây có lẽ là cách mạng botnet được cập nhật.
Tập lệnh shell chính được tải lên máy nạn nhân bắt đầu tải xuống và thực thi phần khác của Gitpaste-12. Nó cũng tải xuống và thực thi các thành phần từ GitHub.
Sau đó, phần mềm độc hại chuẩn bị môi trường mục tiêu bằng cách loại bỏ các biện pháp bảo vệ hệ thống như các quy tắc tường lửa và phần mềm giám sát và ngăn chặn mối đe dọa phổ biến. Các nhà nghiên cứu đã phát hiện ra một tập lệnh chứa các bình luận được viết bằng tiếng Trung Quốc và các lệnh để tắt một số công cụ bảo mật. Trong một ví dụ, các lệnh vô hiệu hóa các tác nhân bảo mật đám mây, cho thấy kẻ tấn công có ý định nhắm mục tiêu vào cơ sở hạ tầng đám mây công cộng do Alibaba Cloud và Tencent cung cấp.
Alex Burt, nhà nghiên cứu của Juniper Threat Labs, cho biết cuộc tấn công được phát hiện từ IP của Trung Quốc, tuy nhiên “chúng tôi không rõ đây chỉ là máy chủ bị lây nhiễm hay là máy của chính kẻ tấn công ban đầu”.
Gitpaste-12 cũng có khả năng khai thác tiền điện tử Monero, cũng là một phương pháp để tự phát tán trên các máy khác nhau.
Các nhà nghiên cứu giải thích: “Phần mềm độc hại Gitpaste-12 cũng chứa một tập lệnh khởi động các cuộc tấn công chống lại các máy khác, nhằm cố gắng sao chép và lây lan. Nó chọn một CIDR ngẫu nhiên/8 để tấn công và sẽ thử tất cả các địa chỉ trong phạm vi đó”. Một số hệ thống bị xâm nhập có các cổng TCP 30004 và 30005 mở cho các lệnh shell.
Mạng botnet sử dụng 11 lỗ hổng và một telnet brute-forcer để phát tán. Những lỗ hổng đã biết này tồn tại trong bộ định tuyến Asus, bộ định tuyến Netlink GPON, camera IP AVTECH, bộ định tuyến Huawei, Apache Struts và Mongo DB, cùng nhiều sản phẩm khác.
Gitpaste-12 có sẵn 12 mô-đun tấn công độc đáo, tuy nhiên theo các nhà nghiên cứu, botnet này đang tiếp tục phát triển. Mục tiêu hiện tại của nó là các máy chủ x86 dựa trên Linux và các thiết bị IoT dựa trên ARM và MIPS.
Trong giai đoạn đầu tiên của cuộc tấn công, Gitpaste-12 cố gắng sử dụng các cách khai thác đã biết để xâm nhập các hệ thống mục tiêu và đánh cắp mật khẩu. Sau đó, phần mềm độc hại tải xuống một tập lệnh từ Pastebin, điều này được lặp lại sau mỗi phút. Đây có lẽ là cách mạng botnet được cập nhật.
Tập lệnh shell chính được tải lên máy nạn nhân bắt đầu tải xuống và thực thi phần khác của Gitpaste-12. Nó cũng tải xuống và thực thi các thành phần từ GitHub.
Sau đó, phần mềm độc hại chuẩn bị môi trường mục tiêu bằng cách loại bỏ các biện pháp bảo vệ hệ thống như các quy tắc tường lửa và phần mềm giám sát và ngăn chặn mối đe dọa phổ biến. Các nhà nghiên cứu đã phát hiện ra một tập lệnh chứa các bình luận được viết bằng tiếng Trung Quốc và các lệnh để tắt một số công cụ bảo mật. Trong một ví dụ, các lệnh vô hiệu hóa các tác nhân bảo mật đám mây, cho thấy kẻ tấn công có ý định nhắm mục tiêu vào cơ sở hạ tầng đám mây công cộng do Alibaba Cloud và Tencent cung cấp.
Alex Burt, nhà nghiên cứu của Juniper Threat Labs, cho biết cuộc tấn công được phát hiện từ IP của Trung Quốc, tuy nhiên “chúng tôi không rõ đây chỉ là máy chủ bị lây nhiễm hay là máy của chính kẻ tấn công ban đầu”.
Gitpaste-12 cũng có khả năng khai thác tiền điện tử Monero, cũng là một phương pháp để tự phát tán trên các máy khác nhau.
Các nhà nghiên cứu giải thích: “Phần mềm độc hại Gitpaste-12 cũng chứa một tập lệnh khởi động các cuộc tấn công chống lại các máy khác, nhằm cố gắng sao chép và lây lan. Nó chọn một CIDR ngẫu nhiên/8 để tấn công và sẽ thử tất cả các địa chỉ trong phạm vi đó”. Một số hệ thống bị xâm nhập có các cổng TCP 30004 và 30005 mở cho các lệnh shell.
Mạng botnet sử dụng 11 lỗ hổng và một telnet brute-forcer để phát tán. Những lỗ hổng đã biết này tồn tại trong bộ định tuyến Asus, bộ định tuyến Netlink GPON, camera IP AVTECH, bộ định tuyến Huawei, Apache Struts và Mongo DB, cùng nhiều sản phẩm khác.
Theo Dark Reading