WhiteHat News #ID:0911
VIP Members
-
30/07/2014
-
79
-
711 bài viết
RIG 3.0 lây nhiễm hơn 1,3 triệu máy tính trên toàn cầu
Theo các nhà nghiên cứu của hãng Trustware, phiên bản 3.0 của bộ khai thác RIG vừa được phát hành đã lây nhiễm hơn 1,3 triệu thiết bị trên toàn thế giới.
Một phần mã nguồn phiên bản 2.0 của bộ khai thác RIG bị rò rỉ trên mạng đầu năm nay do tranh cãi giữa bên phát triển và bên phân phối. Bên phát triển gần đây phát hành phiên bản RIG 3.0 cùng nhiều cải thiện có thể ngăn chặn được những hành vi truy cập mã nguồn trái phép.
Trustware đã theo dõi và truy cập vào các server quản trị và cho biết phiên bản mới nhất của bộ khai thác là nguyên nhân gây ra hơn 3,5 triệu lượt lây nhiễm.
Các chuyên gia cũng cho hay hơn 1,3 triệu máy tính bị khai thác thành công (chiếm tỷ lệ 34%) trong tổng số lần khai thác với hầu hết nạn nhân ở Brazil (450.529 trang bị nhiễm) và Việt Nam (302.705). Khoảng 45.000 hệ thống bị lây nhiễm tại Mỹ, 10.000 tại Anh và 4.000 tại Canada. Tuy nhiên, con số sẽ tăng thêm trong thời gian tới. Trustware cho biết có trung bình khoảng 27.000 thiết bị bị lây nhiễm mới mỗi ngày.
Sở dĩ có tỷ lệ lây nhiễm cao như vậy là có sự “đóng góp” của nhiều lỗ hổng được tìm thấy trong Adobe Flash Player, bao gồm các lỗ hổng zero-day là kết quả từ vụ rò rỉ dữ liệu của Hacking Team.
Các máy tính nạn nhân bị lây nhiễm bởi nhiều loại mã độc; tuy nhiên, 70% thiết bị bị nhiễm liên quan tới botnet phát tán thư rác (spambot) Tofsee. Thú vị ở chỗ chỉ duy nhất 1 trong những khách hàng của RIG 3.0 phát tán Tofsee và các chuyên gia ước tính hắn ta kiếm khoảng 60-100 nghìn USD mỗi tháng.
Trustwave cho hay đa số lưu lượng được truyền tới các trang đích của bộ khai thác RIG (90%) đến từ các chiến dịch quảng cáo độc hại. Tin tặc sử dụng lệnh thời gian thực để đảm bảo rằng những quảng cáo độc hại của chúng được hiển thị trên các website.
Một trong những nhà quảng cáo có dịch vụ bị ảnh hưởng là buy-targeted-traffic.com, cho phép tin tặc mua 1.000 mẩu quảng cáo với giá chỉ thấp bằng 20 xen. Trong khi, hầu hết quảng cáo độc hại sẽ được hiển thị trên những website ít lượng truy cập, trong một số trường hợp quảng cáo được hiển thị trên những trang có lượng truy cập cao nếu thỏa thuận được thống nhất.
Nền tảng RIG 3.0 về cơ bản giống như nền tảng được sử dụng cho RIG 2.0; tuy nhiên có những sự thay đổi đáng chú ý.
Máy chủ riêng ảo (VDS), chứa các mã khai thác cho RIG và đóng vai trò là một đường hầm kết nối máy chủ quản trị và máy chủ proxy, được đặt trên cùng địa chỉ IP với RIG 2.0.
Tuy nhiên, việc RIG 3.0 chỉ sử dụng một VDS, cho thấy mô hình bên phân phối không còn tồn tại hoặc các hệ thống phân phối được duy trì độc lập, có thể là hệ quả của vụ rò rỉ mã nguồn gần đây.
Bên phát triển của bộ khai thác RIG đã vá lỗ hổng dẫn đến tình trạng bên phân phối đánh cắp mã nguồn. Người dùng không có quyền không còn truy cập được vào các file nội bộ đặt trên máy chủ backend và dữ liệu không còn được lưu trữ trong folder trên máy chủ nhằm ngăn chặn người dùng tải backdoor lên.
Bên phát triển RIG cũng bắt đầu sử dụng dịch vụ CloudFlare nhằm bảo vệ bảng điều khiển RIG khỏi các cuộc tấn công từ chối dịch vụ phân tán (DDoS).
Trong RIG 2.0, định dạng của URL trang đích đến là cố định, dẫn đến việc các phần mềm an ninh dễ dàng phát hiện các cuộc tấn công sử dụng bộ khai thác RIG. Với bản phát hành RIG 3.0, bên phát triển thay thế chuỗi tĩnh luôn có trong URL (“PHPSSESID”) với token ngẫu nhiên.
Các chuyên gia cũng lưu ý rằng giao diện người dùng đã được thay đổi trong RIG 3.0.
Một phần mã nguồn phiên bản 2.0 của bộ khai thác RIG bị rò rỉ trên mạng đầu năm nay do tranh cãi giữa bên phát triển và bên phân phối. Bên phát triển gần đây phát hành phiên bản RIG 3.0 cùng nhiều cải thiện có thể ngăn chặn được những hành vi truy cập mã nguồn trái phép.
Trustware đã theo dõi và truy cập vào các server quản trị và cho biết phiên bản mới nhất của bộ khai thác là nguyên nhân gây ra hơn 3,5 triệu lượt lây nhiễm.
Các chuyên gia cũng cho hay hơn 1,3 triệu máy tính bị khai thác thành công (chiếm tỷ lệ 34%) trong tổng số lần khai thác với hầu hết nạn nhân ở Brazil (450.529 trang bị nhiễm) và Việt Nam (302.705). Khoảng 45.000 hệ thống bị lây nhiễm tại Mỹ, 10.000 tại Anh và 4.000 tại Canada. Tuy nhiên, con số sẽ tăng thêm trong thời gian tới. Trustware cho biết có trung bình khoảng 27.000 thiết bị bị lây nhiễm mới mỗi ngày.
Sở dĩ có tỷ lệ lây nhiễm cao như vậy là có sự “đóng góp” của nhiều lỗ hổng được tìm thấy trong Adobe Flash Player, bao gồm các lỗ hổng zero-day là kết quả từ vụ rò rỉ dữ liệu của Hacking Team.
Các máy tính nạn nhân bị lây nhiễm bởi nhiều loại mã độc; tuy nhiên, 70% thiết bị bị nhiễm liên quan tới botnet phát tán thư rác (spambot) Tofsee. Thú vị ở chỗ chỉ duy nhất 1 trong những khách hàng của RIG 3.0 phát tán Tofsee và các chuyên gia ước tính hắn ta kiếm khoảng 60-100 nghìn USD mỗi tháng.
Trustwave cho hay đa số lưu lượng được truyền tới các trang đích của bộ khai thác RIG (90%) đến từ các chiến dịch quảng cáo độc hại. Tin tặc sử dụng lệnh thời gian thực để đảm bảo rằng những quảng cáo độc hại của chúng được hiển thị trên các website.
Một trong những nhà quảng cáo có dịch vụ bị ảnh hưởng là buy-targeted-traffic.com, cho phép tin tặc mua 1.000 mẩu quảng cáo với giá chỉ thấp bằng 20 xen. Trong khi, hầu hết quảng cáo độc hại sẽ được hiển thị trên những website ít lượng truy cập, trong một số trường hợp quảng cáo được hiển thị trên những trang có lượng truy cập cao nếu thỏa thuận được thống nhất.
Nền tảng RIG 3.0 về cơ bản giống như nền tảng được sử dụng cho RIG 2.0; tuy nhiên có những sự thay đổi đáng chú ý.
Máy chủ riêng ảo (VDS), chứa các mã khai thác cho RIG và đóng vai trò là một đường hầm kết nối máy chủ quản trị và máy chủ proxy, được đặt trên cùng địa chỉ IP với RIG 2.0.
Tuy nhiên, việc RIG 3.0 chỉ sử dụng một VDS, cho thấy mô hình bên phân phối không còn tồn tại hoặc các hệ thống phân phối được duy trì độc lập, có thể là hệ quả của vụ rò rỉ mã nguồn gần đây.
Bên phát triển của bộ khai thác RIG đã vá lỗ hổng dẫn đến tình trạng bên phân phối đánh cắp mã nguồn. Người dùng không có quyền không còn truy cập được vào các file nội bộ đặt trên máy chủ backend và dữ liệu không còn được lưu trữ trong folder trên máy chủ nhằm ngăn chặn người dùng tải backdoor lên.
Bên phát triển RIG cũng bắt đầu sử dụng dịch vụ CloudFlare nhằm bảo vệ bảng điều khiển RIG khỏi các cuộc tấn công từ chối dịch vụ phân tán (DDoS).
Trong RIG 2.0, định dạng của URL trang đích đến là cố định, dẫn đến việc các phần mềm an ninh dễ dàng phát hiện các cuộc tấn công sử dụng bộ khai thác RIG. Với bản phát hành RIG 3.0, bên phát triển thay thế chuỗi tĩnh luôn có trong URL (“PHPSSESID”) với token ngẫu nhiên.
Các chuyên gia cũng lưu ý rằng giao diện người dùng đã được thay đổi trong RIG 3.0.
Theo Security Week
Chỉnh sửa lần cuối bởi người điều hành: