Mã độc bonet P2P mới đang tấn công các thiết bị IoT


Các nhà nghiên cứu an ninh mạng gần đây đã tiết lộ thông tin chi tiết về một mạng botnet mới đang tấn công các thiết bị IoT để thực hiện các cuộc tấn công DDoS và khai thác trái phép tiền điện tử.



Phát hiện bởi nhóm bảo mật Netlab của Qihoo 360, HEH Botnet được viết bằng ngôn ngữ lập trình Go và được trang bị giao thức ngang hàng độc quyền (P2P). Nó lây lan bằng cách triển khai một cuộc tấn công dò mật khẩu (brute-force) nhắm vào dịch vụ Telnet trên các cổng 23/2323, sau đó thực thi các lệnh shell tùy ý.



Các nhà nghiên cứu cho biết các mẫu botnet HEH bị phát hiện có khả năng hỗ trợ nhiều kiến ​​trúc CPU khác nhau, bao gồm x86 (32/64), ARM (32/64), MIPS (MIPS32/MIPS-III), và PowerPC (PPC).



Mặc dù đang trong giai đoạn đầu phát triển, nhưng mạng botnet này đã được trang bị với ba mô-đun chức năng: một mô-đun lan truyền (propagation module), một mô-đun dịch vụ HTTP cục bộ, và một mô-đun P2P.



Mẫu botnet HEH ban đầu được tải xuống và thực thi bởi một tập lệnh Shell độc hại có tên là “wpqnbw.txt”. Sau đó nó sử dụng tập lệnh Shell để tải xuống các chương trình giả mạo cho tất cả các kiến ​​trúc CPU từ trang web (“pomf.cat”), trước khi chấm dứt một số tiến trình dịch vụ (process) dựa trên số cổng (port number).



Ở giai đoạn thứ hai, bonet HEH khởi động một máy chủ HTTP hiển thị Tuyên ngôn Quốc tế Nhân quyền (Universal Declaration of Human Rights) bằng tám ngôn ngữ khác nhau. Sau đó nó cho khởi tạo một mô-đun P2P để theo dõi các máy bị ảnh hưởng và cho phép kẻ tấn công chạy các lệnh shell tùy ý, bao gồm xóa toàn bộ dữ liệu khỏi thiết bị bằng cách kích hoạt lệnh tự hủy.



Ngoài ra, bonet này còn có khả năng kích hoạt các lệnh khác như khởi động lại bot, cập nhật danh sách các máy ngang hàng và thoát khỏi bot đang chạy hiện tại. Tuy nhiên, lệnh “Attack” chưa từng được kẻ tấn công triển khai.



“Sau khi chạy mô-đun P2P, Botnet này sẽ đồng thời tấn công brute-force nhắm vào dịch vụ Telnet trên hai cổng 23 và 2323, sau đó hoàn thành quá trình lan truyền của mình,” các chuyên gia bảo mật cho biết.



Nói cách khác, nếu dịch vụ Telnet được mở trên cổng 23 hoặc 2323, nó sẽ tấn công brute-force bằng cách sử dụng từ điển mật khẩu bao gồm 171 tên người dùng và 504 mật khẩu. Khi xâm nhập thành công, nạn nhân mới sẽ được thêm vào mạng botnet, từ đó tiếp tục quá trình lây nhiễm độc hại này.



“Cơ chế hoạt động của mạng botnet này vẫn chưa hoàn thiện, và một số chức năng quan trọng như mô-đun tấn công vẫn chưa được triển khai,” các nhà nghiên cứu kết luận.



“Việc mạng bonet này có cấu trúc P2P mới và đang phát triển, cùng tính năng tự hủy, và khả năng hỗ trợ nhiều kiến trúc CPU khác nhau khiến nó trở thành một nguy cơ bảo mật tiềm ẩn.”



Theo  The Hacker News
The post Mã độc bonet P2P mới đang tấn công các thiết bị IoT appeared first on SecurityDaily .

Top News