Phát hiện botnet lây nhiễm hàng trăm nghìn trang web

Ginny Hà

VIP Members
04/06/2014
88
689 bài viết
Phát hiện botnet lây nhiễm hàng trăm nghìn trang web
(Update ngày 29/10)

Mục đích chính của KashmirBlack là lạm dụng tài nguyên của các hệ thống bị xâm phạm để khai thác tiền điện tử Monero và chuyển hướng lưu lượng truy cập hợp pháp của trang web đến các trang spam. Nhưng nó cũng đã được tận dụng để thực hiện các cuộc tấn công thay đổi giao diện.

Gần đây nhất, KashmirBlack đã có một bước phát triển khôn ngoan. Tháng trước, các nhà nghiên cứu nhận thấy botnet này sử dụng Dropbox để thay thế cho cơ sở hạ tầng C2 cũ, từ đó tận dụng API của dịch vụ lưu trữ đám mây này để gửi các hướng dẫn tấn công và tải lên các báo cáo tấn công từ các bot.

Việc chuyển sang Dropbox cho phép botnet che giấu hoạt động tội phạm bất hợp pháp đằng sau các dịch vụ web hợp pháp", Imperva nhận định.

_____________________________________________________________________
KashmirBlack nhắm mục tiêu tới các hệ thống quản lý nội dung phổ biến như WordPress, Joomla và Drupal, đồng thời liên lạc qua Dropbox và GitHub để che giấu hoạt động.

Theo hãng an ninh mạng Imperva, một mạng botnet chuyên đào tiền ảo, spam và tấn công thay đổi giao diện (deface) đã lây nhiễm hàng trăm nghìn trang web WordPress, Joomla, Magneto và Drupal.

Được gọi là KashmirBlack, botnet này sử dụng cơ sở hạ tầng mô-đun bao gồm các tính năng như giao tiếp cân bằng tải với các máy chủ C&C, lưu trữ file trên các dịch vụ lưu trữ đám mây như Dropbox và GitHub. Nhờ đó có thể tăng tốc độ truy cập vào các bản cập nhật mã mới của hệ thống lây nhiễm.

Theo các chuyên gia, KashmirBlack chủ yếu lây nhiễm các nền tảng CMS phổ biến, khai thác hàng chục lỗ hổng đã biết trên các máy chủ và thực hiện hàng triệu cuộc tấn công mỗi ngày.

CMS thường không được cập nhật và do đó có thể bị khai thác thông qua các lỗ hổng công khai, các chuyên gia cho biết.
2.png
Để thu thập thông tin về mạng botnet gần “1 tuổi” này, các nhà nghiên cứu đã mạo danh một máy chủ bị nhiễm trong mạng botnet và cũng tạo một máy chủ honeypot chạy một trong những cổng CMS được nhắm mục tiêu. "Máy chủ lan truyền" cho phép các nhà nghiên cứu thu thập các lệnh và tập lệnh được truyền tới mạng botnet. Một trang web bị xâm nhập sẽ tiếp tục phát tán phần mềm bot. Các nhà nghiên cứu nhận thấy rằng botnet sẽ tấn công trung bình 240 máy chủ hoặc 3.450 trang web nạn nhân mỗi ngày.

Với con số 285 hệ thống được giám sát cố gắng phát tán phần mềm bot trong vài tháng và tỷ lệ thành công giả định là 1%, các nhà nghiên cứu ước tính rằng khoảng 230.000 trang web đã bị xâm phạm trong 11 tháng qua.

Trong quá trình nghiên cứu, chúng tôi đã chứng kiến sự phát triển của botnet từ quy mô trung bình với các tính năng cơ bản trở thành một cơ sở hạ tầng khổng lồ như hiện tại”, các nhà nghiên cứu kết luận.

Mạng botnet được xây dựng với kiến trúc hiệu suất cao giúp cập nhật dễ dàng. Hai cụm hệ thống lây nhiễm được sử dụng làm kho lưu trữ code và bộ khai thác. Đồng thời hệ thống bị xâm nhập được chia thành các nhóm rõ ràng. Các nhà nghiên cứu cho biết, các tính năng cân bằng tải đã được thêm vào để tăng khả năng đáp ứng và tính khả dụng.

Ngoài ra, KashmirBlack đã nhanh chóng thay đổi trong 11 tháng qua. Ví dụ, vào tháng 9, những kẻ đứng sau botnet đã thay đổi khả năng điều khiển và ra lệnh để sử dụng API Dropbox lưu trữ nhật ký hoạt động và truy xuất lệnh.

Botnet này rất năng động. Bạn dường như không thể chặn hoặc đặt các quy tắc bảo mật một lần để áp dụng với nó. Botnet phát triển và thay đổi, nó triển khai các kỹ thuật ẩn giấu mới, đôi khi hàng ngày, hàng tuần hoặc hàng tháng”, chuyên gia cho biết.

Mạng botnet cũng sử dụng GitHub và Pastebin khiến lưu lượng kết nối khó phát hiện hơn.

Mạng botnet có thể dễ dàng ngụy trang trong lưu lượng truy cập hợp pháp. Các dịch vụ không thể phát hiện ra nó vì bot chỉ đang lưu trữ các file, không có chức năng độc hại nào”.

Từ một chữ ký xác nhận, các nhà nghiên cứu đã tìm ra manh mối về danh tính của kẻ đứng sau botnet: một hacker nickname "Exect1337", là thành viên của nhóm hacker Indonesia PhantomGhost.

Theo Dark Reading
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Bên trên