WhiteHat News #ID:0911
VIP Members
-
30/07/2014
-
79
-
711 bài viết
Linux backdoor cho phép hacker chiếm quyền điều khiển thiết bị có lỗ hổng
Một dạng mã độc mới đang nhắm mục tiêu vào các thiết bị Linux nhúng với mục đích lây nhiễm thiết bị và chiếm toàn bộ quyền điều khiển, đồng thời để lại một cổng mở để tiến hành các hoạt động nguy hại khác như khởi phát các cuộc tấn công DDoS.
Được gọi là Rakos, mã độc khởi tạo các cuộc tấn công vào các thiết bị nhúng và máy chủ bằng một cổng SSH mở và sử dụng hình thức tấn công brute force để crack mật khẩu.
ESET tuyên bố tin tặc tạo ra Rakos muốn lây nhiễm càng nhiều hệ thống càng tốt để tạo ra một mạng botnet có thể được sử dụng cho các cuộc tấn công độc hại khác, chẳng hạn như tấn công DDoS và phát tán thư rác.
Ban đầu, hacker quét hệ thống có lỗ hổng bằng cách phân tích dãy IP được xác định trước, nhưng trên thực tế các cuộc tấn công brute force được sử dụng để đột nhập hệ thống, chỉ có các thiết bị có mật khẩu rất yếu bị ảnh hưởng.
Sau khi truy cập và tiếp cận được thiết bị Linux, Rakos bắt đầu kích hoạt dịch vụ HTTP nội bộ tại địa chỉ http://127.0.0.1:61314 với hai mục đích khác nhau.
"Mục đích đầu tiên giống như một cách thức khôn ngoan dành cho các phiên bản mới của mạng botnet để tắt các instance đang chạy bằng cách truy vấn địa chỉ http://127.0.0.1:61314/et. Mục đích thứ hai, mã độc sẽ cố gắng phân tích một truy vấn URL cho các thông số "ip", "u", "p" bằng cách truy vấn http://127.0.0.1:61314/ex. Mục đích của nguồn HTTP /ex vẫn chưa rõ tại thời điểm này và có vẻ như không dùng để tham chiếu trong mã", ESET cho hay.
Mã độc tự động quét và thu thập thông tin, sau đó gửi đến một máy chủ C&C, bao gồm cả ở đây địa chỉ IP, tên người dùng và mật khẩu. Một tập tin cấu hình được lưu trữ nội bộ giúp backdoor nâng cấp tập tin này với những nhiệm vụ mới, mà còn để nâng cấp các tập tin riêng để tin tặc có thể phát triển một phiên bản tiên tiến hơn trong tương lai.
Làm thế nào để loại bỏ khả năng lây nhiễm Rakos
Điều quan trọng cần nhấn mạnh là mật khẩu SSH phức tạp gần như không thể bị crack bởi mã độc này và tin tặc chủ yếu đang tìm kiếm các thiết bị Linux sử dụng các mật khẩu yếu.
Tuy nhiên, nếu vì một lý do nào đó, thiết bị nhúng của bạn đã bị lây nhiễm mã độc, bạn cần phải kết nối sử dụng Telnet/SSH và tìm kiếm một tiến trình có tên là .javaxxx. Hãy chắc chắn rằng nó đang được sử dụng cho các kết nối không mong muốn và sau đó tắt tiến trình.
Khởi động lại máy tính cũng tắt tiến trình và backdoor chưa được cấu hình để tự động khởi động lại, nhưng trong hầu hết các trường hợp, các thiết bị sẽ bị lây nhiễm một lần nữa sau đó.
Thông tin SSH an toàn là hoàn toàn bắt buộc để duy trì bảo vệ chống lại Rakos, và ESET cho hay số lượng các cuộc tấn công liên quan đến backdoor này đang gia tăng trong những ngày này.
Được gọi là Rakos, mã độc khởi tạo các cuộc tấn công vào các thiết bị nhúng và máy chủ bằng một cổng SSH mở và sử dụng hình thức tấn công brute force để crack mật khẩu.
ESET tuyên bố tin tặc tạo ra Rakos muốn lây nhiễm càng nhiều hệ thống càng tốt để tạo ra một mạng botnet có thể được sử dụng cho các cuộc tấn công độc hại khác, chẳng hạn như tấn công DDoS và phát tán thư rác.
Ban đầu, hacker quét hệ thống có lỗ hổng bằng cách phân tích dãy IP được xác định trước, nhưng trên thực tế các cuộc tấn công brute force được sử dụng để đột nhập hệ thống, chỉ có các thiết bị có mật khẩu rất yếu bị ảnh hưởng.
Sau khi truy cập và tiếp cận được thiết bị Linux, Rakos bắt đầu kích hoạt dịch vụ HTTP nội bộ tại địa chỉ http://127.0.0.1:61314 với hai mục đích khác nhau.
"Mục đích đầu tiên giống như một cách thức khôn ngoan dành cho các phiên bản mới của mạng botnet để tắt các instance đang chạy bằng cách truy vấn địa chỉ http://127.0.0.1:61314/et. Mục đích thứ hai, mã độc sẽ cố gắng phân tích một truy vấn URL cho các thông số "ip", "u", "p" bằng cách truy vấn http://127.0.0.1:61314/ex. Mục đích của nguồn HTTP /ex vẫn chưa rõ tại thời điểm này và có vẻ như không dùng để tham chiếu trong mã", ESET cho hay.
Mã độc tự động quét và thu thập thông tin, sau đó gửi đến một máy chủ C&C, bao gồm cả ở đây địa chỉ IP, tên người dùng và mật khẩu. Một tập tin cấu hình được lưu trữ nội bộ giúp backdoor nâng cấp tập tin này với những nhiệm vụ mới, mà còn để nâng cấp các tập tin riêng để tin tặc có thể phát triển một phiên bản tiên tiến hơn trong tương lai.
Làm thế nào để loại bỏ khả năng lây nhiễm Rakos
Điều quan trọng cần nhấn mạnh là mật khẩu SSH phức tạp gần như không thể bị crack bởi mã độc này và tin tặc chủ yếu đang tìm kiếm các thiết bị Linux sử dụng các mật khẩu yếu.
Tuy nhiên, nếu vì một lý do nào đó, thiết bị nhúng của bạn đã bị lây nhiễm mã độc, bạn cần phải kết nối sử dụng Telnet/SSH và tìm kiếm một tiến trình có tên là .javaxxx. Hãy chắc chắn rằng nó đang được sử dụng cho các kết nối không mong muốn và sau đó tắt tiến trình.
Khởi động lại máy tính cũng tắt tiến trình và backdoor chưa được cấu hình để tự động khởi động lại, nhưng trong hầu hết các trường hợp, các thiết bị sẽ bị lây nhiễm một lần nữa sau đó.
Thông tin SSH an toàn là hoàn toàn bắt buộc để duy trì bảo vệ chống lại Rakos, và ESET cho hay số lượng các cuộc tấn công liên quan đến backdoor này đang gia tăng trong những ngày này.
Nguồn: Softpedia