17/09/2018, 20:29

Mạng lưới botnet Mayhem trên Linux khai thác lỗ hổng Shellshock

Shellshock tiếp tục là lỗ hỗng đáng quan tâm nhất hiện nay. Tin tặc đã khai thác lỗ hổng này nhằm lây nhiễm lên các máy chủ Linux với một malware phức tạp hơn với cái tên Mayhem. Mayhem được phát hiện từ đầu năm nay và đã được phân tích kĩ càng bởi các nhà nghiên cứu từ công ty Yandex của ...

hackers-hacking-hacks-100257350-primary.idge

Shellshock tiếp tục là lỗ hỗng đáng quan tâm nhất hiện nay. Tin tặc đã khai thác lỗ hổng này nhằm lây nhiễm lên các máy chủ Linux với một malware phức tạp hơn với cái tên Mayhem.

Mayhem được phát hiện từ đầu năm nay và đã được phân tích kĩ càng bởi các nhà nghiên cứu từ công ty Yandex của Nga. Nó được cài đặt thông qua một script PHP mà tin tặc tải lên máy chủ thông qua mật khẩu FTP, lỗ hổng các trang web hoặc tấn công brute-force truy cập vào trang web với quyền quản trị. Thành phần chính của Mayhem là một tệp tin thư viện ELF độc hại(Executable and Linkable Format). Sau khi được cài đặt, nó sẽ tải về bổ sung plugin và lưu trữ chúng trên một tệp tin hệ thống ẩn và mã hóa. Plugin này cho phép tin tặc sử dụng những máy chủ bị nhiễm malware để tấn công và xâm nhập vào các trang web khác.

Trong tháng 7, các nhà nghiên cứu ước tính rằng mạng lưới botnet này bao gồm 1400 máy chủ và mỗi máy chủ này đang kết nối với 2 máy chủ điều khiển. Các nhà nghiên cứu độc lập từ Malware Must Die (MMD) báo cáo rằng tác giả của Mayhem đã thêm lỗ hổng Shellshock vào cách thức tấn công của botnet này. Shellsock là tên gọi chung của một số lỗ hổng được phát hiện gần đây trong trình thông dịch Linux Bash command-line. Nó có thể bị khai thác để thực thi mã lệnh từ xa trên các máy chủ thông qua một vài cách thức tấn công bao gồm CGI (Common Gateway Interface), OpenSSH, DHCP (Dynamic Host Configuration Protocol) thậm chí OpenVPN trong một vài trường hợp.

Mã script chứa thư viện ELF Mayhem tích hợp dữ liệu hệ cơ số 16 dành cho cả hai kiến trúc CPU 32bit và 64bit và sử dụng hàm LD_PRELOAD nhằm giải nén và chạy trên hệ điều hành. Giống các phiên bản trước, nó tạo ra một tệp tin hệ thống ẩn chứa các thành phần bổ sung là các plugin có thể được dùng để quét và tấn công những máy chủ khác. Các nhà nghiên cứu cho rằng những plugin này đã được cập nhật khai thác lỗ hổng Shellshock. Các cuộc tấn công Shellshock gần đây được tạo ra từ các địa chỉ IP  liên quan đến Mayhem bot và đến từ nhiều quốc gia khác nhau như Anh, Indonesia, Ba Lan, Áo, Úc và Thụy Điển.

Hầu hết các bản phân phối Linux đều đã được vá lỗ hổng Shellshock nhưng rất nhiều máy chủ web, đặc biệt là những máy chủ tự quản lí, đều không được cấu hình cập nhật tự động. Có rất nhiều sản phẩm doanh nghiệp dựa trên nền tảng Linux và các thiết bị nhúng bao gồm máy chủ web có thể dễ dàng bị Shellshock tấn công.

Computerworld

0