WhiteHat News #ID:2017
VIP Members
-
20/03/2017
-
113
-
356 bài viết
Botnet Ttint khai thác lỗ hổng 0-Day trong các bộ định tuyến Tenda
Theo các nhà nghiên cứu tại công ty an ninh mạng 360 Netlab của Trung Quốc, một mạng botnet mới dựa trên botnet Mirai khét tiếng đang nhắm vào các lỗ hổng 0-day trong các bộ định tuyến Tenda.
Botnet mới được đặt tên là Ttint và sở hữu khả năng triển khai tấn công từ chối dịch vụ giống tất cả các thế hệ kế thừa khác của Mirai. Điểm mới là botnet này có thể thực hiện 12 phương pháp truy cập từ xa khác nhau, trong đó có proxy Socket5, sửa đổi DNS và các bảng IP của bộ định tuyến, hay chạy các lệnh hệ thống.
Để tránh bị phát hiện lưu lượng truy cập giống botnet Mirai, bên cạnh phương thức mã hóa, Ttint sử dụng giao thức WSS (WebSocket over TLS) để giao tiếp với máy chủ C&C.
Hoạt động của botnet lần đầu tiên được phát hiện vào tháng 11/2019, khi kẻ tấn công bắt đầu khai thác lỗ hổng 0-day đầu tiên trong các bộ định tuyến Tenda. Lỗi thứ hai bắt đầu bị tấn công vào tháng 8/2020, nhưng 360 Netlab cho biết nhà sản xuất không phản hồi các email báo cáo lỗi này.
360 Netlab cho biết: “Chúng tôi đã phân tích và so sánh các mẫu Ttint trong 2 thời điểm tấn công và nhận thấy rằng các lệnh từ máy chủ C2 của chúng hoàn toàn giống nhau, nhưng vẫn có một số khác biệt về lỗ hổng 0-day, XOR Key và giao thức C2 được sử dụng”.
Các nhà nghiên cứu cho biết hành vi của botnet Ttint tương đối đơn giản. Cụ thể, trong quá trình chạy nó sẽ xóa các tệp của chính mình, sửa đổi tên tiến trình, qua mặt chức năng giám sát và có thể ngăn thiết bị khởi động lại. Sau khi thiết lập kết nối với máy chủ C&C, Ttint sẽ gửi thông tin của thiết bị và bắt đầu chờ lệnh từ máy chủ.
Malware này mang nhiều đặc tính giống Mirai, như tên tiến trình được đặt ngẫu nhiên, mã hóa thông tin cấu hình, khả năng tấn công DDoS hoặc chỉ một phiên bản phần mềm độc hại duy nhất được chạy tại một thời điểm. Tuy nhiên, không giống như Mirai, nó sử dụng giao thức websocket.
Botnet này cho phép kẻ tấn công truy cập từ xa vào mạng nội bộ của bộ định tuyến, chiếm quyền truy cập mạng để có thể đánh cắp thông tin, thiết lập quy tắc chuyển tiếp lưu lượng và lợi dụng reverse shell làm local shell. Nó cũng có thể tự cập nhật hoặc hủy tiến trình của chính mình và thực thi lệnh do máy chủ C&C đưa ra.
Botnet này có thể thực hiện 22 lệnh, trong đó có nhiều lệnh để khởi động các cuộc tấn công DDoS.
Người dùng nên kiểm tra firmware trên bộ định tuyến Tenda và cập nhật ngay các bản vá. Đồng thời, người dùng cũng nên theo dõi và chặn các IoC có liên quan đã được công ty 360 Netlab công bố.
Để tránh bị phát hiện lưu lượng truy cập giống botnet Mirai, bên cạnh phương thức mã hóa, Ttint sử dụng giao thức WSS (WebSocket over TLS) để giao tiếp với máy chủ C&C.
Hoạt động của botnet lần đầu tiên được phát hiện vào tháng 11/2019, khi kẻ tấn công bắt đầu khai thác lỗ hổng 0-day đầu tiên trong các bộ định tuyến Tenda. Lỗi thứ hai bắt đầu bị tấn công vào tháng 8/2020, nhưng 360 Netlab cho biết nhà sản xuất không phản hồi các email báo cáo lỗi này.
360 Netlab cho biết: “Chúng tôi đã phân tích và so sánh các mẫu Ttint trong 2 thời điểm tấn công và nhận thấy rằng các lệnh từ máy chủ C2 của chúng hoàn toàn giống nhau, nhưng vẫn có một số khác biệt về lỗ hổng 0-day, XOR Key và giao thức C2 được sử dụng”.
Các nhà nghiên cứu cho biết hành vi của botnet Ttint tương đối đơn giản. Cụ thể, trong quá trình chạy nó sẽ xóa các tệp của chính mình, sửa đổi tên tiến trình, qua mặt chức năng giám sát và có thể ngăn thiết bị khởi động lại. Sau khi thiết lập kết nối với máy chủ C&C, Ttint sẽ gửi thông tin của thiết bị và bắt đầu chờ lệnh từ máy chủ.
Malware này mang nhiều đặc tính giống Mirai, như tên tiến trình được đặt ngẫu nhiên, mã hóa thông tin cấu hình, khả năng tấn công DDoS hoặc chỉ một phiên bản phần mềm độc hại duy nhất được chạy tại một thời điểm. Tuy nhiên, không giống như Mirai, nó sử dụng giao thức websocket.
Botnet này cho phép kẻ tấn công truy cập từ xa vào mạng nội bộ của bộ định tuyến, chiếm quyền truy cập mạng để có thể đánh cắp thông tin, thiết lập quy tắc chuyển tiếp lưu lượng và lợi dụng reverse shell làm local shell. Nó cũng có thể tự cập nhật hoặc hủy tiến trình của chính mình và thực thi lệnh do máy chủ C&C đưa ra.
Botnet này có thể thực hiện 22 lệnh, trong đó có nhiều lệnh để khởi động các cuộc tấn công DDoS.
Người dùng nên kiểm tra firmware trên bộ định tuyến Tenda và cập nhật ngay các bản vá. Đồng thời, người dùng cũng nên theo dõi và chặn các IoC có liên quan đã được công ty 360 Netlab công bố.
Theo Securityweek