WhiteHat News #ID:0911
VIP Members
-
30/07/2014
-
79
-
711 bài viết
Máy tính Linux trở thành mục tiêu tấn công của trojan DDoS và backdoor mới
Hệ sinh thái Linux tiếp tục trở thành mục tiêu của một dòng trojan mới có tên Linux.BackDoor.Xudp.
Dòng trojan mới này không lợi dụng ngôn ngữ lập trình tự động, các lỗ hổng hay các cuộc tấn công brute-force để lây nhiễm mà lợi dụng chính sự “ngô nghê” của người dùng để tồn tại.
Kịch bản lây nhiễm khá đơn giản, trojan lừa người dùng tải về gói tin hoặc các ứng dụng độc hại từ Internet, tạo điều kiện cho hacker chiếm đặc quyền root.
Linux.BackDoor.Xudp được cài đặt thông qua Linux.Downloader
Xudp không được phát tán trực tiếp, mà tin tặc sẽ đính kèm gói tin độc hại với một malware có tên Linux.Downloader. Malware này đủ nhỏ để đưa vào bên trong các ứng dụng khác, và chỉ có duy nhất chức năng tải mã độc khác.
Trong trường hợp này, sau khi người dùng trao đặc quyền root cho một một ứng dụng có chèn Linux.Downloader (phiên bản 77), trojan này sẽ tải về một phiên bản nâng cấp của chính mình (phiên bản 116), bao gồm nhiều tính năng cần thiết trong quá trình cài đặt Xudp.
Phiên bản 116 sẽ tải và cài đặt Xudp trong thư mục "/lib/.socket1" hoặc /lib/.loves ", bổ sung Xudp vào các script autorun của hệ thống, đồng thời vô hiệu hóa firewall iptable nội bộ nếu được sử dụng.
Thông tin liên lạc với máy chủ Xudp được mã hóa
Linux.Downloader sau đó tự dừng hoạt động và “chuyển giao” nạn nhân cho Xudp. Đầu tiên trojan kiểm tra một tập tin cấu hình đã được mã hóa cứng để lấy hướng dẫn có sẵn của hacker, sau đó thu thập thông tin máy tính bị nhiễm, rồi gửi đến máy chủ C&C, thông báo nạn nhân mới bị nhiễm thành công.
Lệnh ping đầu tiên đến máy chủ C&C được gửi đi trong một truy vấn HTTP ở dạng cleartext, nhưng tất cả các hoạt động thông tin liên lạc sau đó sẽ được xử lý thông qua HTTPS.
Về mặt kỹ thuật, các chuyên gia an ninh Dr.Web cho hay Xudp có thể được sử dụng như một backdoor thực thi lệnh trên máy tính nội bộ hoặc một bot trong các cuộc tấn công DDoS phối hợp. Tính đến thời điểm này, Dr. Web đã phát hiện ít nhất ba phiên bản khác nhau của Linux.BackDoor.Xudp.
Nguồn: Softpedia
Dòng trojan mới này không lợi dụng ngôn ngữ lập trình tự động, các lỗ hổng hay các cuộc tấn công brute-force để lây nhiễm mà lợi dụng chính sự “ngô nghê” của người dùng để tồn tại.
Kịch bản lây nhiễm khá đơn giản, trojan lừa người dùng tải về gói tin hoặc các ứng dụng độc hại từ Internet, tạo điều kiện cho hacker chiếm đặc quyền root.
Linux.BackDoor.Xudp được cài đặt thông qua Linux.Downloader
Xudp không được phát tán trực tiếp, mà tin tặc sẽ đính kèm gói tin độc hại với một malware có tên Linux.Downloader. Malware này đủ nhỏ để đưa vào bên trong các ứng dụng khác, và chỉ có duy nhất chức năng tải mã độc khác.
Trong trường hợp này, sau khi người dùng trao đặc quyền root cho một một ứng dụng có chèn Linux.Downloader (phiên bản 77), trojan này sẽ tải về một phiên bản nâng cấp của chính mình (phiên bản 116), bao gồm nhiều tính năng cần thiết trong quá trình cài đặt Xudp.
Phiên bản 116 sẽ tải và cài đặt Xudp trong thư mục "/lib/.socket1" hoặc /lib/.loves ", bổ sung Xudp vào các script autorun của hệ thống, đồng thời vô hiệu hóa firewall iptable nội bộ nếu được sử dụng.
Thông tin liên lạc với máy chủ Xudp được mã hóa
Linux.Downloader sau đó tự dừng hoạt động và “chuyển giao” nạn nhân cho Xudp. Đầu tiên trojan kiểm tra một tập tin cấu hình đã được mã hóa cứng để lấy hướng dẫn có sẵn của hacker, sau đó thu thập thông tin máy tính bị nhiễm, rồi gửi đến máy chủ C&C, thông báo nạn nhân mới bị nhiễm thành công.
Lệnh ping đầu tiên đến máy chủ C&C được gửi đi trong một truy vấn HTTP ở dạng cleartext, nhưng tất cả các hoạt động thông tin liên lạc sau đó sẽ được xử lý thông qua HTTPS.
Về mặt kỹ thuật, các chuyên gia an ninh Dr.Web cho hay Xudp có thể được sử dụng như một backdoor thực thi lệnh trên máy tính nội bộ hoặc một bot trong các cuộc tấn công DDoS phối hợp. Tính đến thời điểm này, Dr. Web đã phát hiện ít nhất ba phiên bản khác nhau của Linux.BackDoor.Xudp.
Nguồn: Softpedia