Phát hiện mã độc mới trên Linux có tên OrBit

[HustReMw]

Các chuyên gia an ninh mạng vừa phát hiện mã độc linux hoàn toàn mới có tên OrBit, báo hiệu xu hướng tấn công trên hệ điều hành Linux ngày càng phổ biến.

Theo công ty an ninh mạng Intezer, mã độc được đặt tên theo file mà nó sử dụng để lưu trữ các thông tin đánh cắp được ("/tmp/.orbit").
​

Các chuyên gia cho biết, mã độc tồn tại, ẩn náu trên máy bằng cách sử dụng kỹ thuật hook các API (các hàm của hệ thống). Mã độc cung cấp khả năng truy cập SSH, thu thập thông tin xác thực, ghi lại các lệnh TTY.

Orbit là mã độc thứ tư được đưa ra ánh sáng sau 3 tháng, trước đó là các mã độc BPFDoor, Symbiote và Syslogk.

Giống như Symbiote, Orbit lây nhiễm tất cả các tiến trình đang chạy trên máy. Tuy nhiên, nếu như Symbiote lợi dụng các LD_PRELOAD để tải đối tượng thì OrBit sử dung một trong hai cách sau: Cách thứ nhất là sửa file cấu hình để chương trình tải thư viện độc hại, cách thứ 2 là sửa trực tiếp mã nhị phân của chương trình.

Chuỗi tấn công bắt đầu ghi ra một file thư viện ELF libdl.so và thêm nó vào thư viện đang được tải bởi các chương trình. Thư viện độc hại được thực hiện hook ba thư viện của hệ thống libc, libcap và Pluggable Authentication Module (PAM), khiến tất cả các chương trình đang chạy có chức năng thu thập thông tin, mở truy cập SSH, ẩn các hoạt động về mạng... OrBit cũng có một loạt các phương pháp khác để che giấu hoạt động, gây khó khăn cho việc người dùng loại bỏ khỏi máy tính.

Mục tiêu cuối cũng của Orbit là đánh cắp thông tin bằng cách hook các hàm đọc ghi của tiến trình, bao gồm cả các lệnh bash và lệnh sh. Kết quả đánh cắp được sẽ lưu ra file của mã độc.

Các chuyên gia cho biết, điều làm mã độc này trở nên đặc biệt thú vị là nó hook các thư viện trên máy nạn nhân, từ đó ẩn náu lâu dài, tránh bị phát hiện trong quá trình đánh cắp thông tin và mở cửa hậu truy cập SSH.

Các mối đe dọa nhắm vào Linux đang phát trển và tránh sự phát hiện của các công cụ an ninh, OrBit là một ví dụ điển hình.​

Nguồn: thehackernews​

​