Các nhà nghiên cứu bảo mật từ Yandex của Nga đã phát hiện ra một mã độc mới đang được sử dụng để nhằm vào Linux và các máy chủ web FreeBSD và để biến chúng thành một phần của mạng botnet mà không cần đến bất cứ đặc quyền nào.
Các nhà nghiên cứu gọi mã độc này là Mayhem, một mã độc nguy hiểm bao gồm rất nhiều các bản khai thác của lỗ hổng (có cả những lỗ hổng không được công bố) gây ra nhiều thứ độc hại và lây nhiễm với những máy không được cập nhật các bản vá an toàn hoặc không chạy các phần mềm an toàn.
Gần đây, các nhà nghiên cứu đã phát hiện hơn 1.400 các máy chủ Linux và FreeBSD trên thế giới bị loại mã độc này xâm nhập, với hàng nghìn nguy cơ tiềm ẩn có thể xảy đến. Hầu hết các máy bị xâm nhập là ở Mỹ, Nga, Đức và Canada.
“Ba chuyên gia bảo mật Andrej Kovalev, Konstantin Ostrashkevich and Evgeny Sidorov, làm việc tại Internet Portal Yandex của Nga, phát hiện ra mã độc nhắm vào các máy chủ *nix. Họ là có thể theo dõi đường truyền từ các máy tính bị nhiễm mã độc đến hai máy chủ điều khiển C&C. Trong dòng máy chủ nix* công nghệ tự động cập nhật không được sử dụng rộng rãi đặc biệt so với máy tính và điện thoại thông minh. Đa phần các nhà quản trị web và các nhà quản trị hệ thống phải cập nhật phần mềm theo cách thủ công và kiểm tra cơ sở hạ tầng làm việc chính xác trước khi cập nhật.” – Ba chuyên gia này viêt trên một tờ báo chuyên ngành cho Virus Bulletin.
“Đối với các website thông thường, việc bảo trì hệ thống một cách nghiêm túc là khá tốn chi phí và thông thường các nhà quản trị web không có đủ khả năng tài chính để làm được điều này. Có nghĩa là tin tặc rất dễ tìm ra các máy chủ web dễ bị tấn công và đưa các máy chủ này vào danh sách botnet của họ”
Các nhà nghiên cứu nói rằng loại mã độc mới này có thể hoạt động dưới các đặc quyền bi hạn chế trên các hệ thống. Tấn công mã độc này được thực hiện thông qua một tập lệnh PHP rất phức tạp và khả năng các phần mềm diệt virus phát hiện ra chúng là rất thấp.
Các giao tiếp của hệ thống được thiết lập bằng các máy chủ điều khiển C&C có thể gửi các “chỉ thị” độc hại khác nhau cho các botnet. Mayhem là một module và chức năng của nó có thể được mở rộng thông qua các plugin và thời điểm này đã có 8 plugin được phát hiện được liệt kê dưới đây:
- rfiscan.so – Tìm kiếm các website chứa các tấn công có thể được thực thi file từ xa (RFI) và khai thác mã độc.
- wpenum.so– Liệt kê những người dùng của các trang wordPress.
- cmsurls.so – Xác định các trang mà người dùng đã đăng nhập sử dụng WordPress CMS.
- bruteforce.so – Bẻ khóa mật khẩu các trang web xây dựng dựa trên wordpress và Joomla CMS
- bruteforceng.so – Bẻ khóa mật khẩu hầu hết các trang đăng nhập.
- ftpbrute.so – Bẻ khóa các tài khoản FTP.
- crawlerng.so – Xâm nhập vào các trang web (bằng URL) và lấy những đi những thông tin hữu ích.
- crawlerip.so -Xâm nhập vào hệ thống các máy chủ của trang web (bằng IP) và lấy đi các thông tin hữu ích.
Trong trường hợp của rfiscan.so mã độc này phát tán bằng cách tìm các máy chủ chứa các website với các lỗ hổng có thể tấn công từ xa (RFI) sử dụng file http://www.google.com/humans.txt để kiểm tra việc tồn tài lỗ hổng của máy chủ. Nếu phản hồi HTTP chứa các từ “we can shake” thì website này có tồn tại một lỗ hổng cho phép khai thác từ xa.
Khi mã độc này khai thác một lỗ hổng RFI hoặc bất kì plugin nào liệt kê ở trên và được cài đặt, nó sẽ chạy một tập lệnh PHP trên một máy của nạn nhân. Tập lênh PHP này sẽ kill tất các các tiến trình ‘/usr/bin/host’, kiểm tra cơ sở hạ tầng hệ thống và hệ điều hành (giả sử Linux hoặc FreeBSD) và sau đó đưa một mã độc giống như libworker.so.
Mã độc này sau đó tạo ra một hệ thống các tập tin ẩn được gọi là sd0 và tải tất cả 8 plugin trên vào hệ thống, không cái nào trong số 8 cái trên bị phát hiện bởi công cụ quét mã độc của VirusTotal.
Mayhem được phát hiện lần đàu tiên vào tháng tư năm 2014 và theo như ba nhà nghiên cứu này đây là một sự tiếp diễn của chiến dịch bẻ khóa “Fort Disco” được Arbor Networks phát hiện vào năm 2013
Theo THN