WhiteHat News #ID:0911
VIP Members
-
30/07/2014
-
79
-
711 bài viết
Trojan backdoor không file lây lan qua worm tồn tại trong các ổ đĩa di động
Một worm trong Windows lây lan qua các ổ đĩa di động bị phát hiện đang phát tán trojan BLADABINDI kèm các nguy cơ cài backdoor, tấn công DDoS và RAT.
Trojan BLADABINDI từng được sử dụng trong nhiều chiến dịch tấn công mạng do có khả năng thích ứng cao, cho phép hacker điều chỉnh trojan cho từng mục tiêu cụ thể. Trojan này có thể được sử dụng như một backdoor, để thực hiện các cuộc tấn công DDoS với vai trò một botnet, và cho phép người dùng trích xuất thông tin bằng cách sử dụng mô-đun keylogger của nó.
Trend Micro đã phát hiện ra một chiến dịch mã độc mới được cho là sử dụng worm trong Windows, có tên Worm.Win32.BLADABINDI.AA để cài đặt một phiên bản không file của backdoor BLADABINDI.
BLADABINDI sử dụng ngôn ngữ kịch bản AutoIt để biên dịch cả kịch bản lệnh thả và thông tin gói payload khi thả xuống các thiết bị bị tấn công, cùng lúc sử dụng gói UPX để làm xáo trộn chính trojan khiến việc phát hiện trở nên khó khăn hơn nhiều.
Một khi trojan tiếp cận được một hệ thống mới, nó sẽ tìm và xóa các tệp nhị phân Tr.exe khỏi thư mục tạm thời và cài đặt phiên bản của nó, đồng thời kéo dài sự tồn tại của nó bằng cách sao chép chính nó vào thư mục Windows Startup và tạo một mục đăng ký AdobeMX trong đó sử dụng reflective loading để tải mã độc từ bộ nhớ.
Biến thể BLADABINDI này sử dụng nhiều kỹ thuật để duy trì sự tồn tại
Tải mã độc từ bộ nhớ hệ thống khiến BLADABINDI trở thành một mã độc không file, giúp nó không bị phát hiện bởi các giải pháp phòng chống mã độc chỉ thực hiện quét các ổ đĩa hệ thống.
Dòng BLADABINDI này đi kèm với nhiều công cụ backdoor từ ghi lại thao tác bàn phím, đánh cắp thông tin xác thực từ các trình duyệt web đến truy xuất và thực thi các tệp.
Trên thực tế, biến thể BLADABINDI này sử dụng các ổ đĩa di động để tự phát tán khiến nó trở nên đặc biệt nguy hiểm đối với các doanh nghiệp và người dùng sử dụng các thiết bị với mục đích chia sẻ tài liệu.
Trend Micro khuyến cáo người dùng hạn chế và bảo đảm an toàn trong việc sử dụng USB và ổ cứng di động, hoặc các công cụ như PowerShell (đặc biệt trên các hệ thống có dữ liệu nhạy cảm) và chủ động giám sát cổng, điểm kết nối cuối, mạng và máy chủ để phát hiện các hành vi và chỉ số bất thường.
Trojan BLADABINDI từng được sử dụng trong nhiều chiến dịch tấn công mạng do có khả năng thích ứng cao, cho phép hacker điều chỉnh trojan cho từng mục tiêu cụ thể. Trojan này có thể được sử dụng như một backdoor, để thực hiện các cuộc tấn công DDoS với vai trò một botnet, và cho phép người dùng trích xuất thông tin bằng cách sử dụng mô-đun keylogger của nó.
Trend Micro đã phát hiện ra một chiến dịch mã độc mới được cho là sử dụng worm trong Windows, có tên Worm.Win32.BLADABINDI.AA để cài đặt một phiên bản không file của backdoor BLADABINDI.
BLADABINDI sử dụng ngôn ngữ kịch bản AutoIt để biên dịch cả kịch bản lệnh thả và thông tin gói payload khi thả xuống các thiết bị bị tấn công, cùng lúc sử dụng gói UPX để làm xáo trộn chính trojan khiến việc phát hiện trở nên khó khăn hơn nhiều.
Một khi trojan tiếp cận được một hệ thống mới, nó sẽ tìm và xóa các tệp nhị phân Tr.exe khỏi thư mục tạm thời và cài đặt phiên bản của nó, đồng thời kéo dài sự tồn tại của nó bằng cách sao chép chính nó vào thư mục Windows Startup và tạo một mục đăng ký AdobeMX trong đó sử dụng reflective loading để tải mã độc từ bộ nhớ.
Biến thể BLADABINDI này sử dụng nhiều kỹ thuật để duy trì sự tồn tại
Tải mã độc từ bộ nhớ hệ thống khiến BLADABINDI trở thành một mã độc không file, giúp nó không bị phát hiện bởi các giải pháp phòng chống mã độc chỉ thực hiện quét các ổ đĩa hệ thống.
Dòng BLADABINDI này đi kèm với nhiều công cụ backdoor từ ghi lại thao tác bàn phím, đánh cắp thông tin xác thực từ các trình duyệt web đến truy xuất và thực thi các tệp.
Trên thực tế, biến thể BLADABINDI này sử dụng các ổ đĩa di động để tự phát tán khiến nó trở nên đặc biệt nguy hiểm đối với các doanh nghiệp và người dùng sử dụng các thiết bị với mục đích chia sẻ tài liệu.
Trend Micro khuyến cáo người dùng hạn chế và bảo đảm an toàn trong việc sử dụng USB và ổ cứng di động, hoặc các công cụ như PowerShell (đặc biệt trên các hệ thống có dữ liệu nhạy cảm) và chủ động giám sát cổng, điểm kết nối cuối, mạng và máy chủ để phát hiện các hành vi và chỉ số bất thường.
Nguồn: Softpedia