WhiteHat News #ID:3333
VIP Members
-
04/06/2014
-
37
-
446 bài viết
Botnet Matryosh DDoS nhắm mục tiêu đến các thiết bị Android
Một chiến dịch phát tán mã độc mới đang tiến hành thu thập thiết bị Android vào mạng botnet nhằm thực hiện các cuộc tấn công từ chối dịch vụ (DDoS).
Với tên gọi "Matryosh", botnet này sử dụng khung Mirai và lan truyền thông qua các giao diện Android Debug Bridge (ADB) bị lộ lọt để lây nhiễm các thiết bị Android.
ADB là một phần dòng lệnh của Android SDK xử lý thông tin liên lạc và cho phép nhà phát triển cài đặt và gỡ lỗi ứng dụng trên thiết bị Android.
Mặc dù tùy chọn này tắt theo mặc định trên hầu hết điện thoại thông minh và máy tính bảng Android, một số nhà cung cấp vẫn bật tính năng này, do đó cho phép những kẻ tấn công kết nối từ xa qua cổng 5555 TCP và trực tiếp khai thác mà không cần xác thực.
Đây không phải là lần đầu tiên một mạng botnet lợi dụng ADB để lây nhiễm các thiết bị.
Tháng 7/2018, các cổng ADB mở đã bị lợi dụng để phát tán nhiều biến thể botnet Satori, bao gồm cả Fbot. Một năm sau, botnet khai thác tiền điện tử mới được phát hiện, sử dụng cùng một giao diện để nhắm mục tiêu vào người dùng Android ở Hàn Quốc, Đài Loan, Hồng Kông và Trung Quốc.
Nguy hiểm ở việc Matryosh sử dụng Tor để che dấu hoạt động độc hại của nó và các lệnh từ máy chủ do kẻ tấn công kiểm soát.
Các nhà nghiên cứu của Netlab cho biết: “Quá trình liên lạc với C2 được lồng trong các lớp, giống như những con búp bê Nga”.
Đầu tiên Matryosh giải mã tên máy chủ từ xa và sử dụng yêu cầu DNS TXT - một loại bản ghi tài nguyên - để lấy TOR C2 và proxy TOR. Sau đó, thiết lập kết nối với proxy TOR và giao tiếp với máy chủ TOR C2 thông qua proxy và chờ hướng dẫn thêm từ máy chủ.
Các nhà nghiên cứu cho biết định dạng lệnh của botnet và việc sử dụng TOR C2 của nó rất giống với một botnet khác có tên LeetHozer được phát triển bởi nhóm Moobot.
“Dựa trên những cân nhắc này, chúng tôi suy đoán Matryosh là công trình mới của nhóm này”.
Với tên gọi "Matryosh", botnet này sử dụng khung Mirai và lan truyền thông qua các giao diện Android Debug Bridge (ADB) bị lộ lọt để lây nhiễm các thiết bị Android.
Mặc dù tùy chọn này tắt theo mặc định trên hầu hết điện thoại thông minh và máy tính bảng Android, một số nhà cung cấp vẫn bật tính năng này, do đó cho phép những kẻ tấn công kết nối từ xa qua cổng 5555 TCP và trực tiếp khai thác mà không cần xác thực.
Đây không phải là lần đầu tiên một mạng botnet lợi dụng ADB để lây nhiễm các thiết bị.
Tháng 7/2018, các cổng ADB mở đã bị lợi dụng để phát tán nhiều biến thể botnet Satori, bao gồm cả Fbot. Một năm sau, botnet khai thác tiền điện tử mới được phát hiện, sử dụng cùng một giao diện để nhắm mục tiêu vào người dùng Android ở Hàn Quốc, Đài Loan, Hồng Kông và Trung Quốc.
Nguy hiểm ở việc Matryosh sử dụng Tor để che dấu hoạt động độc hại của nó và các lệnh từ máy chủ do kẻ tấn công kiểm soát.
Các nhà nghiên cứu của Netlab cho biết: “Quá trình liên lạc với C2 được lồng trong các lớp, giống như những con búp bê Nga”.
Đầu tiên Matryosh giải mã tên máy chủ từ xa và sử dụng yêu cầu DNS TXT - một loại bản ghi tài nguyên - để lấy TOR C2 và proxy TOR. Sau đó, thiết lập kết nối với proxy TOR và giao tiếp với máy chủ TOR C2 thông qua proxy và chờ hướng dẫn thêm từ máy chủ.
Các nhà nghiên cứu cho biết định dạng lệnh của botnet và việc sử dụng TOR C2 của nó rất giống với một botnet khác có tên LeetHozer được phát triển bởi nhóm Moobot.
“Dựa trên những cân nhắc này, chúng tôi suy đoán Matryosh là công trình mới của nhóm này”.
Theo: The Hacker New