Ginny Hà
VIP Members
-
04/06/2014
-
88
-
689 bài viết
Mã độc botnet P2P mới nhắm tới các thiết bị IoT
Các nhà nghiên cứu an ninh mạng vừa phát hiện mạng botnet mới nhắm tới các thiết bị IoT để thực hiện tấn công DDoS, khai thác tiền ảo và các hành vi độc hại khác.
Botnet HEH viết bằng ngôn ngữ Go và được trang bị giao thức ngang hàng (P2P) độc quyền, phát tán qua tấn công dò mật khẩu brute-force dịch vụ Telnet trên các cổng 23/2323 và có thể thực thi các lệnh shell tùy ý.
Các nhà nghiên cứu cho biết các mẫu botnet HEH được phát hiện đến hiện tại hỗ trợ nhiều loại kiến trúc CPU, bao gồm x86 (32/64), ARM (32/64), MIPS (MIPS32 / MIPS-III) và PowerPC (PPC).
Mạng botnet, mặc dù đang trong giai đoạn phát triển ban đầu, gồm 3 mô-đun chức năng: 1 mô-đun phát tán, 1 mô-đun dịch vụ HTTP cục bộ và 1 mô-đun P2P.
Sau khi được tải xuống và thực thi bởi tập lệnh Shell độc hại "wpqnbw.txt", HEH tải xuống các chương trình giả mạo cho tất cả các kiến trúc CPU từ trang web "pomf.cat".
Tiếp đến, HEH khởi động một máy chủ HTTP hiển thị Tuyên ngôn Nhân quyền Toàn cầu bằng 8 ngôn ngữ khác nhau, sau đó khởi tạo mô-đun P2P để theo dõi các đối tượng bị nhiễm và cho phép kẻ tấn công chạy các lệnh shell tùy ý, bao gồm xóa toàn bộ dữ liệu khỏi thiết bị. Các lệnh khác cho phép khởi động lại bot, cập nhật danh sách các máy ngang hàng và thoát khỏi bot hiện tại. Tuy nhiên, lệnh "Tấn công" chưa từng được kẻ đứng sau botnet triển khai.
Các nhà nghiên cứu cho biết: "Sau khi chạy mô-đun P2P, bot sẽ thực hiện nhiệm vụ brute-force nhắm vào dịch vụ Telnet 2 cổng 23 và 2323, sau đó phát tán".
Nói cách khác, nếu dịch vụ Telnet được mở trên cổng 23 hoặc 2323, bot sẽ tấn công brute-force bằng cách sử dụng từ điển mật khẩu bao gồm 171 tên người dùng và 504 mật khẩu. Khi đăng nhập thành công, nạn nhân mới bị nhiễm vào botnet và từ đó phát tán rộng hơn nữa.
Các nhà nghiên cứu kết luận: “Cơ chế hoạt động của mạng botnet này vẫn chưa hoàn thiện. Một số chức năng quan trọng như mô-đun tấn công vẫn chưa được triển khai”.
“Cấu trúc P2P mới và đang phát triển, hỗ trợ nhiều kiến trúc CPU, tính năng tự hủy… là những điểm khiến botnet này có thể trở nên nguy hiểm”.
Các nhà nghiên cứu cho biết các mẫu botnet HEH được phát hiện đến hiện tại hỗ trợ nhiều loại kiến trúc CPU, bao gồm x86 (32/64), ARM (32/64), MIPS (MIPS32 / MIPS-III) và PowerPC (PPC).
Mạng botnet, mặc dù đang trong giai đoạn phát triển ban đầu, gồm 3 mô-đun chức năng: 1 mô-đun phát tán, 1 mô-đun dịch vụ HTTP cục bộ và 1 mô-đun P2P.
Sau khi được tải xuống và thực thi bởi tập lệnh Shell độc hại "wpqnbw.txt", HEH tải xuống các chương trình giả mạo cho tất cả các kiến trúc CPU từ trang web "pomf.cat".
Tiếp đến, HEH khởi động một máy chủ HTTP hiển thị Tuyên ngôn Nhân quyền Toàn cầu bằng 8 ngôn ngữ khác nhau, sau đó khởi tạo mô-đun P2P để theo dõi các đối tượng bị nhiễm và cho phép kẻ tấn công chạy các lệnh shell tùy ý, bao gồm xóa toàn bộ dữ liệu khỏi thiết bị. Các lệnh khác cho phép khởi động lại bot, cập nhật danh sách các máy ngang hàng và thoát khỏi bot hiện tại. Tuy nhiên, lệnh "Tấn công" chưa từng được kẻ đứng sau botnet triển khai.
Các nhà nghiên cứu cho biết: "Sau khi chạy mô-đun P2P, bot sẽ thực hiện nhiệm vụ brute-force nhắm vào dịch vụ Telnet 2 cổng 23 và 2323, sau đó phát tán".
Nói cách khác, nếu dịch vụ Telnet được mở trên cổng 23 hoặc 2323, bot sẽ tấn công brute-force bằng cách sử dụng từ điển mật khẩu bao gồm 171 tên người dùng và 504 mật khẩu. Khi đăng nhập thành công, nạn nhân mới bị nhiễm vào botnet và từ đó phát tán rộng hơn nữa.
Các nhà nghiên cứu kết luận: “Cơ chế hoạt động của mạng botnet này vẫn chưa hoàn thiện. Một số chức năng quan trọng như mô-đun tấn công vẫn chưa được triển khai”.
“Cấu trúc P2P mới và đang phát triển, hỗ trợ nhiều kiến trúc CPU, tính năng tự hủy… là những điểm khiến botnet này có thể trở nên nguy hiểm”.
Theo The Hacker News