WhiteHat News #ID:2017
VIP Members
-
20/03/2017
-
113
-
356 bài viết
Mã độc Stealthworker tấn công các nền tảng và máy chủ cung cấp nội dung số
Các máy chủ đang là mục tiêu của malware Stealthworker nhằm tạo nên mạng botnet để tấn công dò mật khẩu các máy chủ khác.
Theo các nhà nghiên cứu của Akamai, sau khi lợi dụng mật khẩu yếu để lây nhiễm malware, hacker sẽ tìm cách chiếm quyền điều khiển các server Windows và Linux chạy các công cụ quản trị, xuất bản và lưu trữ nội dung phổ biến.
Chuyên gia an ninh mạng Larry Cashdollar phát hiện cuộc tấn công trên khi cho chạy một container WordPress/MySQL gây ra tình trạng nghẽn dung lượng.
"Khi đăng nhập vào hệ thống, tôi thấy sự gia tăng lưu lượng truy cập giữa giữa hệ thống của tôi và nhiều trang WordPress trên internet", Cashdollar cho biết.
"Tôi nhận thấy sự quá tải này bắt nguồn từ việc hệ thống của tôi đang thử đăng nhập nhiều lần vào trang đăng nhập của WordPress".
Sau khi kiểm tra các file log trên máy ảo bị lây nhiễm, chuyên gia này tình cờ phát hiện một theme (chủ đề) của WordPress có chứa file PHP đã bị sửa đổi để cài đặt malware Stealthworker.
Chuyên gia Cashdollar đã “bắt” được malware này và có thể quan sát toàn bộ vòng đời của nó, từ khi bắt đầu lây nhiễm đến khi hoàn toàn chiếm quyền điều khiển máy chủ.
Stealthworker lây nhiễm vào các máy thông qua tấn công dò mật khẩu (brute force). Mỗi máy chủ mục tiêu đều bị tấn công thông qua các lần thử đăng nhập bằng mật khẩu phổ biến. Bằng cách đăng nhập trên nhiều máy, kẻ tấn công có thể tránh được các giới hạn về số lần thử đăng nhập.
Khi đoán được mật khẩu quản trị viên WordPress (Stealthworker cũng có thể nhắm mục tiêu vào các hệ thống Drupal, Joomla, Magento, MySQL và một loạt các phần mềm khác), malware này sẽ thực hiện các bước cài đặt và xóa các thành phần khác nhau. Trên WordPress, theme Alternate-Lite sẽ bị sửa đổi để tải các trình tải xuống vào phần back end và tìm cách chiếm quyền điều khiển toàn bộ máy chủ thông qua các ứng dụng như cPanel và WMH.
Cuối cùng, máy chủ chạy Windows hoặc Linux nằm dưới sự điều khiển của người nắm giữ mạng botnet. Các nhà nghiên cứu của Akamai cho biết sau khi diệt malware này trên máy thử nghiệm bị lây nhiễm, botnet dễ dàng chiếm lại quyền điều khiển trong vòng vài phút. Chỉ khi mật khẩu được thay đổi thì mới có thể ngăn chặn hoàn toàn sự lây nhiễm.
Máy bị lây nhiễm gia nhập vào mạng botnet do máy chủ C&C chi phối để thực hiện tấn công các máy khác. Đồng thời, tất cả các mật khẩu trên máy bị lây nhiễm cũng được bổ sung vào danh sách mà mạng botnet sẽ sử dụng để thử đăng nhập trên các máy khác.
Hiện tại vẫn chưa xác định được động cơ cũng như quy mô tấn công của những kẻ tạo ra malware này.
Mặc dù khó ngăn chặn hoàn toàn các cuộc tấn công do malware Stealthworker gây ra, nhưng giải pháp cho vấn đề này lại khá đơn giản. Các chuyên gia khuyến nghị các quản trị viên phải cài đặt mật khẩu phức tạp và khó đoán.
Chuyên gia an ninh mạng Larry Cashdollar phát hiện cuộc tấn công trên khi cho chạy một container WordPress/MySQL gây ra tình trạng nghẽn dung lượng.
"Khi đăng nhập vào hệ thống, tôi thấy sự gia tăng lưu lượng truy cập giữa giữa hệ thống của tôi và nhiều trang WordPress trên internet", Cashdollar cho biết.
"Tôi nhận thấy sự quá tải này bắt nguồn từ việc hệ thống của tôi đang thử đăng nhập nhiều lần vào trang đăng nhập của WordPress".
Sau khi kiểm tra các file log trên máy ảo bị lây nhiễm, chuyên gia này tình cờ phát hiện một theme (chủ đề) của WordPress có chứa file PHP đã bị sửa đổi để cài đặt malware Stealthworker.
Chuyên gia Cashdollar đã “bắt” được malware này và có thể quan sát toàn bộ vòng đời của nó, từ khi bắt đầu lây nhiễm đến khi hoàn toàn chiếm quyền điều khiển máy chủ.
Stealthworker lây nhiễm vào các máy thông qua tấn công dò mật khẩu (brute force). Mỗi máy chủ mục tiêu đều bị tấn công thông qua các lần thử đăng nhập bằng mật khẩu phổ biến. Bằng cách đăng nhập trên nhiều máy, kẻ tấn công có thể tránh được các giới hạn về số lần thử đăng nhập.
Khi đoán được mật khẩu quản trị viên WordPress (Stealthworker cũng có thể nhắm mục tiêu vào các hệ thống Drupal, Joomla, Magento, MySQL và một loạt các phần mềm khác), malware này sẽ thực hiện các bước cài đặt và xóa các thành phần khác nhau. Trên WordPress, theme Alternate-Lite sẽ bị sửa đổi để tải các trình tải xuống vào phần back end và tìm cách chiếm quyền điều khiển toàn bộ máy chủ thông qua các ứng dụng như cPanel và WMH.
Cuối cùng, máy chủ chạy Windows hoặc Linux nằm dưới sự điều khiển của người nắm giữ mạng botnet. Các nhà nghiên cứu của Akamai cho biết sau khi diệt malware này trên máy thử nghiệm bị lây nhiễm, botnet dễ dàng chiếm lại quyền điều khiển trong vòng vài phút. Chỉ khi mật khẩu được thay đổi thì mới có thể ngăn chặn hoàn toàn sự lây nhiễm.
Máy bị lây nhiễm gia nhập vào mạng botnet do máy chủ C&C chi phối để thực hiện tấn công các máy khác. Đồng thời, tất cả các mật khẩu trên máy bị lây nhiễm cũng được bổ sung vào danh sách mà mạng botnet sẽ sử dụng để thử đăng nhập trên các máy khác.
Hiện tại vẫn chưa xác định được động cơ cũng như quy mô tấn công của những kẻ tạo ra malware này.
Mặc dù khó ngăn chặn hoàn toàn các cuộc tấn công do malware Stealthworker gây ra, nhưng giải pháp cho vấn đề này lại khá đơn giản. Các chuyên gia khuyến nghị các quản trị viên phải cài đặt mật khẩu phức tạp và khó đoán.
Theo Theregister