WhiteHat News #ID:3333
VIP Members
-
04/06/2014
-
37
-
446 bài viết
Mã độc Botnet đầu tiên LuaBot nhắm mục tiêu đến nền tảng Linux
Một trojan lập trình trên Lua đang hướng mục tiêu đến nền tảng Linux nhằm bổ sung vào mạng botnet toàn cầu.
Hiện tại trojan LuaBot được đóng gói dưới dạng nhị phân ELF hướng tấn công đến nền tảng ARM thường thấy trong thiết bị nhúng (IoT). Đây dường như là lần đầu tiên mã độc dựa trên Lua được đóng gói dưới dạng nhị phân và phát tán tới các nền tảng Linux.
LuaBot được phát hiện lần đầu tiên một tuần trước và chưa có mẫu nhận diện trên VirusTotal.
Các nhà nghiên cứu đã giải mã một số đoạn code của trojan này và phát hiện các bot giao tiếp với một máy chủ C&C đặt tại Hà Lan trên cơ sở hạ tầng của máy chủ chuyên dụng lưu trữ WorldStream.NL.
Các nhà nghiên cứu cũng phát hiện ra rằng tác giả LuaBot để lại một thông điệp phía sau cho các chuyên gia infosec đang cố giải mã cấu trúc. Thông điệp viết: “Xin chào, giải mã vui vẻ, liên lạc với tôi qua địa chỉ [REDACTED .ru email address]".
Ngoài ra, các nhà nghiên cứu cũng phát hiện mã code có tên "penetrate_sucuri", ám chỉ đến các tính năng có thể theo dõi Web Application Firewall của Sucuri - sản phẩm an ninh mạng đã và đang ngăn chặn được nhiều mối đe dọa web. “Có vẻ như các chức năng được mã hóa có mục đích”, nhà nghiên cứu cho hay.
Hiện tại trojan LuaBot được đóng gói dưới dạng nhị phân ELF hướng tấn công đến nền tảng ARM thường thấy trong thiết bị nhúng (IoT). Đây dường như là lần đầu tiên mã độc dựa trên Lua được đóng gói dưới dạng nhị phân và phát tán tới các nền tảng Linux.
LuaBot được phát hiện lần đầu tiên một tuần trước và chưa có mẫu nhận diện trên VirusTotal.
Các nhà nghiên cứu đã giải mã một số đoạn code của trojan này và phát hiện các bot giao tiếp với một máy chủ C&C đặt tại Hà Lan trên cơ sở hạ tầng của máy chủ chuyên dụng lưu trữ WorldStream.NL.
Các nhà nghiên cứu cũng phát hiện ra rằng tác giả LuaBot để lại một thông điệp phía sau cho các chuyên gia infosec đang cố giải mã cấu trúc. Thông điệp viết: “Xin chào, giải mã vui vẻ, liên lạc với tôi qua địa chỉ [REDACTED .ru email address]".
Ngoài ra, các nhà nghiên cứu cũng phát hiện mã code có tên "penetrate_sucuri", ám chỉ đến các tính năng có thể theo dõi Web Application Firewall của Sucuri - sản phẩm an ninh mạng đã và đang ngăn chặn được nhiều mối đe dọa web. “Có vẻ như các chức năng được mã hóa có mục đích”, nhà nghiên cứu cho hay.
Theo: SoftPedia