WhiteHat News #ID:2112
VIP Members
-
16/06/2015
-
83
-
672 bài viết
Mã độc Linux có liên quan đến tin tặc Trung Quốc được tiết lộ
Một backdoor phức tạp mới, nhắm mục tiêu vào các thiết bị đầu cuối và máy chủ Linux vừa được tiết lộ. Các nhà nghiên cứu tin rằng đây là công việc của tin tặc có tổ chức ở Trung Quốc.
Được gọi là "RedXOR", backdoor giả dạng một daemon polkit và có điểm tương đồng với những phần mềm trước đây được liên kết với nhóm Winnti Umbrella (hoặc Axiom) như PWNLNX, XOR.DDOS và Groundhog.
Tên RedXOR xuất phát từ hành vi mã hóa dữ liệu mạng bằng một lược đồ dựa trên XOR và được biên dịch bằng trình biên dịch GCC trên bản phát hành cũ của Red Hat Enterprise Linux, cho thấy mã độc được sử dụng trong các cuộc tấn công có chủ đích nhằm vào hệ thống Linux cũ.
Theo các nhà nghiên cứu tại Intezer, có hai mẫu phần mềm độc hại được tải lên từ Indonesia và Đài Loan vào khoảng ngày 23-24/2, cả hai quốc gia được biết đến là tồn tại các nhóm tin tặc Trung Quốc.
Ngoài sự giống nhau trong quy trình và chức năng tổng thể cũng như việc sử dụng mã hóa XOR giữa RedXOR và PWNLNX, backdoor có dạng tệp ELF 64-bit (“po1kitd-update-k”), khi thực thi sẽ tạo một thư mục ẩn để lưu trữ các tệp liên quan, trước khi tự cài vào máy.
Polkit (hay PolicyKit) là một bộ công cụ để xác định và xử lý việc ủy quyền và được sử dụng để cho phép các quy trình không có đặc quyền giao tiếp với các quy trình đặc quyền.
Ngoài ra, phần mềm đi kèm với một cấu hình mã hóa chứa địa chỉ IP và cổng C2 và mật khẩu cần để xác thực với máy chủ C2, trước khi thiết lập kết nối qua ổ cắm TCP.
Thông tin liên lạc không chỉ được ngụy trang dưới dạng lưu lượng HTTP vô hại mà còn được mã hóa hai chiều bằng cách sử dụng lược đồ mã hóa XOR.
RedXOR có nhiều khả năng, bao gồm thu thập thông tin hệ thống (địa chỉ MAC, tên người dùng, bản phân phối, tốc độ đồng hồ, phiên bản kernel...), thao tác tập tin, thực hiện các lệnh với đặc quyền hệ thống, chạy các lệnh shell tùy ý và thậm chí các tùy chọn để cập nhật từ xa.
Người dùng bị ảnh hưởng có thể thực hiện các biện pháp bảo vệ bằng cách kill quá trình và xóa tất cả các tệp liên quan đến phần mềm độc hại.
Được gọi là "RedXOR", backdoor giả dạng một daemon polkit và có điểm tương đồng với những phần mềm trước đây được liên kết với nhóm Winnti Umbrella (hoặc Axiom) như PWNLNX, XOR.DDOS và Groundhog.
Tên RedXOR xuất phát từ hành vi mã hóa dữ liệu mạng bằng một lược đồ dựa trên XOR và được biên dịch bằng trình biên dịch GCC trên bản phát hành cũ của Red Hat Enterprise Linux, cho thấy mã độc được sử dụng trong các cuộc tấn công có chủ đích nhằm vào hệ thống Linux cũ.
Theo các nhà nghiên cứu tại Intezer, có hai mẫu phần mềm độc hại được tải lên từ Indonesia và Đài Loan vào khoảng ngày 23-24/2, cả hai quốc gia được biết đến là tồn tại các nhóm tin tặc Trung Quốc.
Ngoài sự giống nhau trong quy trình và chức năng tổng thể cũng như việc sử dụng mã hóa XOR giữa RedXOR và PWNLNX, backdoor có dạng tệp ELF 64-bit (“po1kitd-update-k”), khi thực thi sẽ tạo một thư mục ẩn để lưu trữ các tệp liên quan, trước khi tự cài vào máy.
Polkit (hay PolicyKit) là một bộ công cụ để xác định và xử lý việc ủy quyền và được sử dụng để cho phép các quy trình không có đặc quyền giao tiếp với các quy trình đặc quyền.
Ngoài ra, phần mềm đi kèm với một cấu hình mã hóa chứa địa chỉ IP và cổng C2 và mật khẩu cần để xác thực với máy chủ C2, trước khi thiết lập kết nối qua ổ cắm TCP.
Thông tin liên lạc không chỉ được ngụy trang dưới dạng lưu lượng HTTP vô hại mà còn được mã hóa hai chiều bằng cách sử dụng lược đồ mã hóa XOR.
RedXOR có nhiều khả năng, bao gồm thu thập thông tin hệ thống (địa chỉ MAC, tên người dùng, bản phân phối, tốc độ đồng hồ, phiên bản kernel...), thao tác tập tin, thực hiện các lệnh với đặc quyền hệ thống, chạy các lệnh shell tùy ý và thậm chí các tùy chọn để cập nhật từ xa.
Người dùng bị ảnh hưởng có thể thực hiện các biện pháp bảo vệ bằng cách kill quá trình và xóa tất cả các tệp liên quan đến phần mềm độc hại.
Theo The Hacker News