Botnet khai thác tiền ảo bí mật đằng sau dịch vụ proxy

Không nghi ngờ gì, các botnet tập trung vào hoạt động khai thác tiền điện tử là một trong những dạng lây nhiễm phần mềm độc hại phổ biến nhất trong năm 2018.

Các botnet mới xuất hiện khắp mọi nơi, theo các nhà nghiên cứu bảo mật từ hãng bảo mật Qihoo 360 của Trung Quốc, họ phát hiện ra các trường hợp vi phạm mới hàng ngày.

Không phải tất cả chúng đều có thể sinh lợi, như một báo cáo Malwarebytes gần đây đã cho thấy, nhưng điều đó không ngăn cản tội phạm mạng cố gắng.

Mặc dù hầu hết botnet là một bản sao carbon của nhau, đôi khi các nhà nghiên cứu khám phá ra một vài trường hợp đặc biệt. Tuần này, một botnet gây chú ý về mặt sáng tạo đã được phát hiện bởi nhóm Netlab tại Qihoo 360.

Theo nhóm Netlab, điều nổi bật về botnet này là thay vì cho phép các bot bị nhiễm kết nối với máy chủ từ xa thông qua kết nối trực tiếp, các tác giả của nó đã sử dụng dịch vụ ngrok.com.

Ngrok.com là trang web proxy ngược đơn giản được sử dụng để cho phép người dùng Internet kết nối với máy chủ bị chặn bởi tường lửa hoặc trên máy cục bộ không có địa chỉ IP công khai.

Dịch vụ này rất phổ biến với các doanh nghiệp vì nó cho phép nhân viên kết nối với mạng nội bộ của công ty. Dịch vụ này cũng được sử dụng bởi người dùng cá nhân, thường là các nhà phát triển tự do, để cho phép khách hàng xem trước các ứng dụng đang được phát triển.

Trong hầu hết các trường hợp, người dùng lưu trữ máy chủ trên máy cục bộ của mình, đăng ký với ngrok và nhận URL công khai dưới dạng [kí tự ngẫu nhiên] .ngrok.io và sau đó chia sẻ với khách hàng hoặc bạn bè để cho họ xem trước dự án đang diễn ra .

Theo nhà nghiên cứu Hui Wang của Netlab, ít nhất một kẻ khai thác tiền điện tử botnet đã quen thuộc với dịch vụ này và sử dụng nó để lưu trữ một máy chủ điều khiển theo lệnh (C & C) phía sau mạng proxy của ngrok. Kẻ điều khiển botnet này dường như đã gián tiếp đạt được khả năng phục hồi chống lại bất kỳ sự cố gắng trong việc gỡ xuống máy chủ C & C của hắn.

Như Hui giải thích, điều này xảy ra vì URL ngrok.io chỉ hoạt động trong khoảng 12 giờ và trong khoảng thời gian đó, các nhà nghiên cứu bảo mật xác định một URL C & C mới, liên kết ngrok.io thay đổi thành một URL mới, ẩn botnet khỏi các nhà nghiên cứu một lần nữa. Điều này cho phép botnet tồn tại nhiều hơn các botnet lưu trữ các máy chủ C & C trên các nền tảng lưu trữ phổ biến, nơi các công ty bảo mật thường có thể can thiệp thông qua các yêu cầu lạm dụng.

Nhưng đó là nơi sự sáng tạo của botnet kết thúc. Bên cạnh thủ thuật C & C, botnet đặc biệt này sử dụng một sắp đặt đơn giản cho cấu trúc bên trong của nó.

Hui cho biết botnet bao gồm bốn thành phần chính, tất cả đều có những cái tên nói lên tất cả. Scanner quét Internet cho các ứng dụng dễ bị khai thác; Reporter sẽ quan tâm đến kết nối khách hàng-máy chủ; Loader tải xuống và lây nhiễm máy chủ; và Miner là ứng dụng thực được cài đặt trên máy chủ tạo ra tiền điện tử cho kẻ điều khiển botnet.

Hiện tại, Hui cho biết botnet đang nhắm đến một loạt các ứng dụng web và hệ quản trị nội dung, chẳng hạn như Drupal, ModX, Docker, Jenkins, Redis và CouchDB.

Ngoài ra còn có một mô-đun để quét các ví Ethereum, nhưng điều này không hoạt động. Mặt khác, một mô-đun chèn thư viện JavaScript Coinhive vào tất cả các tệp JS của máy chủ đang hoạt động, có nghĩa là botnet cũng sẽ khai thác Monero bên trong trình duyệt của người dùng truy cập trang web được lưu trữ trên máy chủ bị nhiễm.

Botnet đặc biệt này không phải là cực kỳ thành công khi so sánh với các botnet đã kiếm được hàng triệu đô la Mỹ, và theo Hui, kẻ điều khiển nó đã kiếm được khoảng 70 XMR, khoảng 7.800 đô la. Khi nói về hoạt động của botnet, con số này chỉ là số lẻ.