Hàng loạt máy chủ SSH bị tấn công bởi một mã độc botnet P2P fileless

Mới đây, các nhà nghiên cứu an ninh mạng đã tiết lộ thông tin chi tiết về một mạng botnet ngang hàng ( P2P ) đa chức năng, được viết bằng ngôn ngữ lập trình Golang và đang tích cực tấn công các máy chủ SSH kể từ đầu năm nay.



Botnet này có tên là “ FritzFrog “, và là một botnet mô-đun, đa luồng và fileless (không cần file). Theo một báo cáo của Guardicore Labs thì cho tới hiện tại, nó đã lây nhiễm và làm rò rỉ dữ liệu của hơn 500 máy chủ, bao gồm máy chủ của nhiều trường đại học nổi tiếng tại Mỹ, châu Âu, cùng một công ty trong lĩnh vực đường sắt.



“Do hoạt động trong một cơ sở hạ tầng phi tập trung, nên mạng botnet này phân phối quyền kiểm soát tới tất cả các node (nút) của nó. Mạng botnet này không có điểm lỗi duy nhất ( SPOF ), bởi lẽ các máy tham gia sẽ luôn liên tục truyền thông tin với nhau để giữ cho mạng lưới tồn tại, phục hồi và luôn được cập nhật,” Ophir Harpaz, chuyên gia bảo mật của Guardicore cho biết.



Bên cạnh việc triển khai một giao thức P2P độc quyền được viết lại từ đầu, các giao tiếp truyền thông tin còn được thực hiện qua một kênh được mã hóa, với mã độc có khả năng tạo ra một backdoor trên hệ thống của nạn nhân giúp duy trì quyền truy cập cho kẻ tấn công trong tương lai.



Một mạng Botnet P2P Fileless 



Mặc dù có nhiều mạng botnet dựa trên GoLang đã được phát hiện trước đây, như Gandalf và GoBrut , tuy nhiên, FritzFrog dường như có nhiều điểm tương đồng với Rakos hơn cả. Rakos là một Linux backdoor dựa trên Golang, từng bị phát hiện xâm nhập vào hệ thống của nạn nhân bằng cách tấn công dò mật khẩu (brute-force) khi đăng nhập SSH. 



Nhưng điều khiến FritzFrog khác biệt so với những botnet khác là nó không cần file (fileless), nghĩa là nó có thể tập hợp và thực thi các payload trên bộ nhớ, và linh hoạt hơn trong việc thực hiện tấn công brute-force, đồng thời vẫn giữ được tính hiệu quả do luôn phân phối đồng đều các mục tiêu tấn công trong mạng lưới.



Sau khi xác định được mục tiêu tấn công, mã độc này sẽ thực hiện một loạt các tác vụ bao gồm tấn công dò mật khẩu, thực hiện lây nhiễm các payload độc hại, tiếp theo đó là làm rò rỉ dữ liệu và thêm nạn nhân vào mạng P2P của nó để duy trì tấn công vào lần sau.



Để tránh bị phát hiện, mã độc này ngụy trang dưới dạng ifconfig và NGINX, đồng thời bắt đầu lắng nghe cổng 1234 để nhận các lệnh thực thi khác, bao gồm cả lệnh đồng bộ hóa nạn nhân với cơ sở dữ liệu của mạng ngang hàng và mục tiêu tấn công brute-force.



Bản thân các lệnh được truyền tới mã độc thông qua một loạt các vòng lặp được thiết kế để tránh bị phát hiện. Đầu tiên, nút mạng trên botnet của kẻ tấn công sẽ “bám” vào một nạn nhân mục tiêu qua SSH, sau đó sử dụng tiện ích NETCAT để thiết lập kết nối với một máy chủ từ xa.



Hơn nữa, các file payload sẽ được trao đổi giữa các nút theo kiểu BitTorrent, sử dụng một kỹ thuật truyền file từng phần để gửi các blob dữ liệu.



“Khi node A muốn nhận một file từ node B (đồng đẳng của nó), nó có thể truy vấn node B xem liệu có blob nào mà nó sở hữu sử dụng lệnh getblobstats không. Sau đó, node A có thể lấy một blob cụ thể bằng hash của nó, có thể qua lệnh P2P getbin hoặc qua HTTP, với URL ‘https://node_IP:1234/blob_hash.’ Khi node A có tất cả những blob mà nó cần, nó sẽ tập hợp lại thành một file bằng cách cho chạy một mô-đun đặc biệt có tên là Assemble.”



Bên cạnh việc cài mã và mã hóa các phản hồi lệnh, mã độc này còn cho chạy một chương trình riêng biệt, có tên là “libexec,” nhằm mục đích đào tiền ảo Monero và tạo một backdoor để duy trì truy cập trong tương lai bằng cách thêm một public key trên file “ authorized_keys ” của SSH. Điều này sẽ giúp kẻ tấn công có thể đăng nhập xác thực vào hệ thống của nạn nhân mà không cần dựa vào mật khẩu nữa.



13.000 cuộc tấn công được phát hiện kể từ tháng 1



Theo công ty an ninh mạng Guardicore, chiến dịch này đã bắt đầu từ ngày 9 tháng 1 và cho đến nay nó đã tiến hành tất cả 13.000 cuộc tấn công, với 20 phiên bản mã nhị phân khác nhau của mã độc.



Bên cạnh việc nhắm mục tiêu vào các tổ chức giáo dục, FritzFrog còn bị phát hiện đã tấn công hàng triệu địa chỉ IP của các tổ chức chính phủ, trung tâm y tế, ngân hàng và các công ty viễn thông.



Được biết Guardicore Labs cũng đã cung cấp một tập lệnh giúp kiểm tra xem liệu máy chủ của người dùng có bị nhiễm FritzFrog hay không, đồng thời chia sẻ một số chỉ số khác giúp phát hiện xâm nhập (IoC- Indicators of Compromise).



“Mật khẩu yếu là nguyên nhân chính yếu khiến các cuộc tấn công FritzFrog phát triển. Do đó sẽ an toàn hơn rất nhiều nếu người dùng lựa chọn những mật khẩu mạnh và sử dụng các public key xác thực. Bộ định tuyến và các thiết bị IoT thường để lộ cổng SSH nên dễ bị ảnh hưởng bởi các cuộc tấn công như FritzFrog. Vì thế, chúng tôi khuyến nghị người dùng nên cân nhắc thay đổi cổng SSH hoặc vô hiệu hóa hoàn toàn quyền truy cập SSH nếu dịch vụ đó không được sử dụng thường xuyên,” Harpaz kết luận.



Theo The Hacker News
The post Hàng loạt máy chủ SSH bị tấn công bởi một mã độc botnet P2P fileless appeared first on SecurityDaily .