WhiteHat News #ID:0911
VIP Members
-
30/07/2014
-
79
-
711 bài viết
Mã độc VPNFilter có khả năng phá hủy và tấn công MiTM
Các nhà nghiên cứu an ninh mạng thuộc Talos mới có những phát hiện chi tiết về malware VPNFilter, một dòng mã độc botnet IoT tân tiến từng lây nhiễm hơn 500.000 bộ định tuyến tại ít nhất 54 quốc gia, cho phép hacker do thám người dùng cũng như tiến hành các hoạt động phá hoại.
Ban đầu, mã độc được cho là nhắm mục tiêu đến các bộ định tuyến và kho lưu trữ mạng từ Linksys, MikroTik, NETGEAR và TP-Link, nhưng một phân tích sâu hơn lại cho thấy VPNFilter cũng tấn công các thiết bị do ASUS, D- Link, Huawei, Ubiquiti, QNAP, UPVEL và ZTE sản xuất.
"Ban đầu, chúng tôi nhận định mã độc nhắm mục tiêu đến một số các nhà cung cấp mới, vừa được thêm vào danh sách. Các thiết bị mới cũng được phát hiện là của Linksys, MikroTik, Netgear và TP-Link", các nhà nghiên cứu nói.
Để chiếm quyền điều khiển các thiết bị từ các nhà cung cấp bị ảnh hưởng ở trên, mã độc chỉ đơn giản dựa vào các lỗ hổng công khai hoặc sử dụng các thông tin xác thực mặc định, thay vì khai thác lỗ hổng zero-day.
VPNFilter 'ssler' - Module tấn công Man-in-the-Middle
Bên cạnh đó, các nhà nghiên cứu chủ yếu chia sẻ các chi tiết kỹ thuật về một module tầng 3 mới, được đặt tên là "ssler", là một gói sniffer mạng nâng cao, nếu được cài đặt, cho phép hacker chặn lưu lượng mạng đi qua bộ định tuyến bị lây nhiễm và phát tán gói tin độc hại có sử dụng MiTM.
"Module Ssler cung cấp khả năng lọc dữ liệu và chèn JavaScript bằng cách chặn tất cả lưu lượng truy cập đi qua thiết bị đến cổng 80", các nhà nghiên cứu cho biết.
Module tầng 3 này cũng cho phép mã độc có khả năng duy trì sự hiện diện liên tục trên thiết bị bị lây nhiễm, ngay cả sau khi khởi động lại.
Module ssler được thiết kế để phát tán các gói tin độc hại tùy chỉnh để tấn công các thiết bị cụ thể kết nối tới mạng bị lây nhiễm theo danh sách tham số. Danh sách này dùng để xác định hành vi của module và các đối tượng website để tấn công.
Các thông số này bao gồm các cài đặt nhằm xác định vị trí thư mục trên thiết bị nơi dữ liệu bị đánh cắp sẽ được lưu trữ, nguồn và địa chỉ IP đích để tạo bảng quy tắc iptable, cũng như URL được nhắm mục tiêu để chèn JavaScript.
Để thiết lập gói sniffing cho tất cả các truy vấn gửi đi trên cổng 80, module cấu hình iptable của thiết bị ngay sau khi cài đặt để chuyển hướng tất cả lưu lượng mạng có đích là cổng 80 đến bộ nghe dịch vụ nội bộ trên cổng 8888.
"Để đảm bảo rằng những quy tắc này không bị loại bỏ, ssler xóa chúng và sau đó thêm chúng trở lại khoảng bốn phút một lần", các nhà nghiên cứu giải thích.
Để nhắm mục tiêu các truy vấn HTTPS, module ssler cũng thực hiện tấn công SSLStrip, nghĩa là hạ cấp kết nối HTTPS xuống HTTP, buộc trình duyệt web của nạn nhân phải giao tiếp qua HTTP thuần văn bản.
VPNFilter 'dstr' – Module phá hủy thiết bị
VPNFilter cũng có khả năng phá hoại (module dstr), có thể được sử dụng để vô hiệu hóa thiết bị bị lây nhiễm bằng cách xóa các tệp cần thiết giúp thiết bị hoạt động bình thường.
Malware kích hoạt tính năng chống trộm killswitch cho các router, nơi đầu tiên cân nhắc việc nó bị loại bỏ, trước khi xóa phần còn lại của các tập tin trên hệ thống [có tên vpnfilter, security, và tor], có lẽ để che giấu sự hiện diện của mình trong quá trình phân tích forensic.
Tính năng này có thể được kích hoạt trên các máy tính cá nhân hoặc nhiều hơn thế, có khả năng cắt đứt truy cập internet của hàng trăm nghìn nạn nhân trên toàn thế giới.
Chỉ khởi động lại router là chưa đủ
Tầng 1 của mã độc vẫn có thể “sống sót” sau khi khởi động lại, có được chỗ đứng vững chắc trên thiết bị bị lây nhiễm và cho phép triển khai mã độc tầng 2 và 3. Vì vậy, mỗi khi thiết bị bị lây nhiễm được khởi động lại, tầng 2 và 3 sẽ được cài đặt lại trên thiết bị.
Điều này có nghĩa, ngay cả sau khi FBI tịch thu máy chủ C&C chính của VPNFilter, hàng trăm nghìn thiết bị đã bị nhiễm mã độc, có thể vẫn đang bị nhiễm tầng 1, sau đó là tầng 2 và 3.
Do đó, chỉ khởi động lại là không đủ để loại bỏ hoàn toàn mã độc VPNFilter khỏi các thiết bị bị lây nhiễm. Chủ sở hữu bộ định tuyến, thiết bị chuyển mạch và thiết bị lưu trữ mạng cần phải thực hiện các biện pháp bổ sung, thay đổi từ mô hình này sang mô hình khác. Chủ sở hữu router nên liên hệ với nhà sản xuất.
Đối với một số thiết bị, việc cài đặt lại bộ định tuyến về mặc định có thể xóa malware có khả năng phá hủy, cũng như loại bỏ tầng 1, trong khi một số thiết bị có thể được “làm sạch” chỉ đơn giản bằng cách khởi động lại, rồi cập nhật phần mềm thiết bị.
Ban đầu, mã độc được cho là nhắm mục tiêu đến các bộ định tuyến và kho lưu trữ mạng từ Linksys, MikroTik, NETGEAR và TP-Link, nhưng một phân tích sâu hơn lại cho thấy VPNFilter cũng tấn công các thiết bị do ASUS, D- Link, Huawei, Ubiquiti, QNAP, UPVEL và ZTE sản xuất.
"Ban đầu, chúng tôi nhận định mã độc nhắm mục tiêu đến một số các nhà cung cấp mới, vừa được thêm vào danh sách. Các thiết bị mới cũng được phát hiện là của Linksys, MikroTik, Netgear và TP-Link", các nhà nghiên cứu nói.
Để chiếm quyền điều khiển các thiết bị từ các nhà cung cấp bị ảnh hưởng ở trên, mã độc chỉ đơn giản dựa vào các lỗ hổng công khai hoặc sử dụng các thông tin xác thực mặc định, thay vì khai thác lỗ hổng zero-day.
VPNFilter 'ssler' - Module tấn công Man-in-the-Middle
Bên cạnh đó, các nhà nghiên cứu chủ yếu chia sẻ các chi tiết kỹ thuật về một module tầng 3 mới, được đặt tên là "ssler", là một gói sniffer mạng nâng cao, nếu được cài đặt, cho phép hacker chặn lưu lượng mạng đi qua bộ định tuyến bị lây nhiễm và phát tán gói tin độc hại có sử dụng MiTM.
"Module Ssler cung cấp khả năng lọc dữ liệu và chèn JavaScript bằng cách chặn tất cả lưu lượng truy cập đi qua thiết bị đến cổng 80", các nhà nghiên cứu cho biết.
Module tầng 3 này cũng cho phép mã độc có khả năng duy trì sự hiện diện liên tục trên thiết bị bị lây nhiễm, ngay cả sau khi khởi động lại.
Module ssler được thiết kế để phát tán các gói tin độc hại tùy chỉnh để tấn công các thiết bị cụ thể kết nối tới mạng bị lây nhiễm theo danh sách tham số. Danh sách này dùng để xác định hành vi của module và các đối tượng website để tấn công.
Các thông số này bao gồm các cài đặt nhằm xác định vị trí thư mục trên thiết bị nơi dữ liệu bị đánh cắp sẽ được lưu trữ, nguồn và địa chỉ IP đích để tạo bảng quy tắc iptable, cũng như URL được nhắm mục tiêu để chèn JavaScript.
Để thiết lập gói sniffing cho tất cả các truy vấn gửi đi trên cổng 80, module cấu hình iptable của thiết bị ngay sau khi cài đặt để chuyển hướng tất cả lưu lượng mạng có đích là cổng 80 đến bộ nghe dịch vụ nội bộ trên cổng 8888.
"Để đảm bảo rằng những quy tắc này không bị loại bỏ, ssler xóa chúng và sau đó thêm chúng trở lại khoảng bốn phút một lần", các nhà nghiên cứu giải thích.
Để nhắm mục tiêu các truy vấn HTTPS, module ssler cũng thực hiện tấn công SSLStrip, nghĩa là hạ cấp kết nối HTTPS xuống HTTP, buộc trình duyệt web của nạn nhân phải giao tiếp qua HTTP thuần văn bản.
VPNFilter 'dstr' – Module phá hủy thiết bị
VPNFilter cũng có khả năng phá hoại (module dstr), có thể được sử dụng để vô hiệu hóa thiết bị bị lây nhiễm bằng cách xóa các tệp cần thiết giúp thiết bị hoạt động bình thường.
Malware kích hoạt tính năng chống trộm killswitch cho các router, nơi đầu tiên cân nhắc việc nó bị loại bỏ, trước khi xóa phần còn lại của các tập tin trên hệ thống [có tên vpnfilter, security, và tor], có lẽ để che giấu sự hiện diện của mình trong quá trình phân tích forensic.
Tính năng này có thể được kích hoạt trên các máy tính cá nhân hoặc nhiều hơn thế, có khả năng cắt đứt truy cập internet của hàng trăm nghìn nạn nhân trên toàn thế giới.
Chỉ khởi động lại router là chưa đủ
Tầng 1 của mã độc vẫn có thể “sống sót” sau khi khởi động lại, có được chỗ đứng vững chắc trên thiết bị bị lây nhiễm và cho phép triển khai mã độc tầng 2 và 3. Vì vậy, mỗi khi thiết bị bị lây nhiễm được khởi động lại, tầng 2 và 3 sẽ được cài đặt lại trên thiết bị.
Điều này có nghĩa, ngay cả sau khi FBI tịch thu máy chủ C&C chính của VPNFilter, hàng trăm nghìn thiết bị đã bị nhiễm mã độc, có thể vẫn đang bị nhiễm tầng 1, sau đó là tầng 2 và 3.
Do đó, chỉ khởi động lại là không đủ để loại bỏ hoàn toàn mã độc VPNFilter khỏi các thiết bị bị lây nhiễm. Chủ sở hữu bộ định tuyến, thiết bị chuyển mạch và thiết bị lưu trữ mạng cần phải thực hiện các biện pháp bổ sung, thay đổi từ mô hình này sang mô hình khác. Chủ sở hữu router nên liên hệ với nhà sản xuất.
Đối với một số thiết bị, việc cài đặt lại bộ định tuyến về mặc định có thể xóa malware có khả năng phá hủy, cũng như loại bỏ tầng 1, trong khi một số thiết bị có thể được “làm sạch” chỉ đơn giản bằng cách khởi động lại, rồi cập nhật phần mềm thiết bị.
Nguồn: The Hacker News