WhiteHat News #ID:0911
VIP Members
-
30/07/2014
-
79
-
711 bài viết
Phát hiện mã độc tống tiền mới nhắm mục tiêu vào ổ cứng mạng NAS
Một dòng ransomware mới vừa bị phát hiện nhắm mục tiêu vào các ổ cứng mạng NAS (Network Attached Storage) trên nền tảng Linux do QNAP Systems sản xuất.
NAS là thiết bị lưu trữ chuyên dụng được kết nối mạng, phù hợp sử dụng cho các hộ gia đình và doanh nghiệp nhỏ. NAS cho phép người dùng lưu trữ, chia sẻ và sao lưu dữ liệu trên nhiều máy tính.
Mã độc mới phát hiện được đặt tên QNAPCrypt, nhắm mục tiêu vào các máy chủ QNAP NAS bằng tấn công brute force hoặc thông qua khai thác các lỗ hổng cũ.
QNAPCrypt được viết bằng ngôn ngữ lập trình Go, sử dụng chuẩn AES để mã hóa các tệp tin mục tiêu, sau đó thêm đuôi .encrypt vào mỗi file đã mã hóa.
Điểm thú vị là nếu thiết bị bị nhiễm NAS được đặt tại Belarus, Ukraine hoặc Nga, ransomware sẽ chấm dứt quá trình mã hóa file và thoát ra mà không gây hại cho các tập tin.
Sau khi thực thi, việc đầu tiên ransomware này thực hiện là kết nối tới máy chủ C&C từ xa được bảo vệ bởi mạng Tor, sử dụng proxy SOCKS5 Tor để thông báo tới kẻ tấn công về nạn nhân mới.
Trước khi mã hóa, ransomware sẽ yêu cầu địa chỉ ví bitcoin ‘độc quyền’ để các nạn nhân chuyển tiền chuộc đến. Nếu máy chủ không còn địa chỉ bitcoin thỏa mãn yêu cầu, ransomware sẽ không tiến hành mã hóa tệp tin ngay mà chờ cho đến khi được cung cấp địa chỉ mới.
Khi đã được gán địa chỉ ví bitcoin, ransomware sẽ sinh một chuỗi ngẫu nhiên gồm 32 ký tự để tạo khóa bí mật AES-256. Sau đó, mã độc mã hóa tất cả các tệp được lưu trữ trên thiết bị NAS mục tiêu bằng thuật toán AES trong chế độ Cipher Feedback Mode (CFB).
Vì mô-đun mã hóa sử dụng gói tin toán học để tạo khóa bí mật, các nhà nghiên cứu cho biết có thể sẽ phải viết một bộ giải mã cho dòng ransomware mới này.
Các nhà nghiên cứu cũng lưu ý rằng trước khi mã hóa các tệp được lưu trữ trên các thiết bị NAS mục tiêu, ransomware cố tình kill (loại bỏ) một loạt tiến trình bao gồm apache2, httpd, nginx, MySQL, mysql và PostgreQuery.
Mã độc mới phát hiện được đặt tên QNAPCrypt, nhắm mục tiêu vào các máy chủ QNAP NAS bằng tấn công brute force hoặc thông qua khai thác các lỗ hổng cũ.
QNAPCrypt được viết bằng ngôn ngữ lập trình Go, sử dụng chuẩn AES để mã hóa các tệp tin mục tiêu, sau đó thêm đuôi .encrypt vào mỗi file đã mã hóa.
Điểm thú vị là nếu thiết bị bị nhiễm NAS được đặt tại Belarus, Ukraine hoặc Nga, ransomware sẽ chấm dứt quá trình mã hóa file và thoát ra mà không gây hại cho các tập tin.
Sau khi thực thi, việc đầu tiên ransomware này thực hiện là kết nối tới máy chủ C&C từ xa được bảo vệ bởi mạng Tor, sử dụng proxy SOCKS5 Tor để thông báo tới kẻ tấn công về nạn nhân mới.
Trước khi mã hóa, ransomware sẽ yêu cầu địa chỉ ví bitcoin ‘độc quyền’ để các nạn nhân chuyển tiền chuộc đến. Nếu máy chủ không còn địa chỉ bitcoin thỏa mãn yêu cầu, ransomware sẽ không tiến hành mã hóa tệp tin ngay mà chờ cho đến khi được cung cấp địa chỉ mới.
Khi đã được gán địa chỉ ví bitcoin, ransomware sẽ sinh một chuỗi ngẫu nhiên gồm 32 ký tự để tạo khóa bí mật AES-256. Sau đó, mã độc mã hóa tất cả các tệp được lưu trữ trên thiết bị NAS mục tiêu bằng thuật toán AES trong chế độ Cipher Feedback Mode (CFB).
Vì mô-đun mã hóa sử dụng gói tin toán học để tạo khóa bí mật, các nhà nghiên cứu cho biết có thể sẽ phải viết một bộ giải mã cho dòng ransomware mới này.
Các nhà nghiên cứu cũng lưu ý rằng trước khi mã hóa các tệp được lưu trữ trên các thiết bị NAS mục tiêu, ransomware cố tình kill (loại bỏ) một loạt tiến trình bao gồm apache2, httpd, nginx, MySQL, mysql và PostgreQuery.
Nguồn: The Hacker News
Chỉnh sửa lần cuối: