Server Linux nhiễm malware tiếp tay cho tấn công DDoS

WhiteHat News #ID:1368

WhiteHat Support
04/06/2014
0
110 bài viết
Server Linux nhiễm malware tiếp tay cho tấn công DDoS
Hàng loạt các chiến dịch tấn công từ chối dịch vụ (DDoS) trong quý II năm nay được tiến hành bởi các server web Linux bị nhiễm các loại malware IptabLes và IptabLex, nhóm bảo mật PLXsert thuộc hãng Akamai tuyên bố.

1490893072iptables.jpg


“Mối đe dọa từ .IptabLex đang lan rộng”, Greg Lindor, trưởng nhóm phân tích malware của PLXsert nhấn mạnh. “Malware này được sử dụng trong các chiến dịch DDoS với quy mô và tầm ảnh hưởng lớn”.

PLXsert đã tiến hành quan sát và đo lưu lượng một số cuộc tấn công nhằm vào các server không được bảo vệ thông qua khai thác một loạt lỗ hổng trong Apache Struts, Tomcat và Elasticsearch. IptabLes hay IptabLex được lưu tại thư mục /boot directory và khi được reboot sẽ tiến hành chạy file nhị phân .IptabLes. Hệ thống bị lây nhiễm malware này liên lạc với một máy chủ từ xa thông qua chức năng cập nhật tự động để download về một tập tin.

Về cơ bản, .IptabLes cũng tương tự như các botnet ddos khác. Điểm mới ở đây là cách botnet này phát tán và các mục tiêu bị tấn công. PLXsert cho biết server bị nhiễm malware trong phòng thí nghiệm của nhóm đã cố gắng liên lạc với 2 địa chỉ IP tại châu Á. Trong khi phần nhiều các malware tạo botnet DDoS thời gian trước đây bắt nguồn từ Nga và gần đây hơn là Mỹ, thì server C&C của 2 malware này được xác định là nằm tại châu Á.

Điều khó khăn với các nhà nghiên cứu là Linux thường không được chọn làm mục tiêu trong các cuộc tấn công DDoS quy mô lớn. Những cuộc tấn công như vậy thường tìm kiếm “một con đường có ít sự kháng cự nhất…khi xây dựng một mạng lưới botnet lớn”, ông Lindor cho biết.

“Linux thường được chọn là hệ điều hành để xây dựng các hệ thống đang chạy rất nhiều các dịch vụ web”, ông Lindor nói. “Việc sử dụng các hệ thống chạy Linux làm botnet phục vụ tấn công DDoS quy mô lớn điều khá mới mẻ và chưa từng được ghi nhận đối với loại tấn công này”.

Sau khi giành được quyền truy cập không giới hạn, “cả hệ thống có thể coi như đã bị đột nhập thành công”. Do đó, tăng cường an ninh cho hệ điều hành thôi là chưa đủ, mà biện pháp bảo vệ đầu tiên trước những mối đe dọa như .IptabLes/x phải là cấu hình đúng cho các dịch vụ được chạy trên hệ điều hành đó, ông Lindor kết luận.

Nguồn: itnews

 
Chỉnh sửa lần cuối bởi người điều hành:
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Bên trên