Botnet mới nhắm vào các lỗ hổng Zero-day trong bộ định tuyến Tenda

Hạnh Tâm| 07/10/2020 11:35
Theo dõi ICTVietnam trên

Theo các nhà nghiên cứu tại 360 Netlab, một đơn vị trực thuộc công ty an ninh mạng Qihoo 360 của Trung Quốc, botnet dựa trên Mirai mới đang nhắm mục tiêu vào các lỗ hổng zero-day trong các bộ định tuyến Tenda.

Botnet Ttint nhắm vào các lỗ hổng Zero-Day trong bộ định tuyến Tenda - Ảnh 1.

Loại botnet mới này có tên Ttint, là một loại Trojan truy nhập từ xa (RAT - Remote Access Trojan). Giống như mọi thế hệ sau này của Mirai, chúng cũng thực hiện 12 tính năng truy nhập từ xa, bao gồm một proxy Socket5, sửa đổi bộ định tuyến DNS và ứng dụng tường lửa iptable đồng thời chạy các lệnh hệ thống.

Để tránh bị phát hiện lưu lượng truy nhập đặc thù mà các botnet Mirai tạo ra, Ttint sử dụng giao thức WSS (WebSocket over TLS) để giao tiếp với máy chủ điều khiển và ra lệnh (C&C) và cũng sử dụng cả mã hóa.

Hoạt động của botnet lần đầu tiên được phát hiện vào tháng 11/2019, khi những kẻ tấn công bắt đầu lợi dụng lỗ hổng zero-day trong các bộ định tuyến của Tenda (CVE-2020-10987). Lỗ hổng thứ 2 bắt đầu bị khai thác vào tháng 8/2020, nhưng 360 Netlab cho biết các nhà cung cấp đã không trả lời những email báo cáo lỗ hổng này.

Theo 360 Netlab: "Chúng tôi đã phân tích và so sánh các mẫu Ttint trong 2 giai đoạn và tìm thấy những hướng dẫn của máy chủ điều khiển bằng lệnh của chúng hoàn toàn giống nhau nhưng chúng có một số khác biệt về lỗ hổng zero-day, khóa XOR và giao thức mà máy chủ C&C của chúng sử dụng".

Các nhà nghiên cứu cho biết, Ttint xóa các tệp tin của chính mình khi thực thi, sửa đổi tên tiến trình của mình, điều khiển giám sát và có thể ngăn chặn thiết bị khởi động lại. Sau khi thiết lập kết nối với C&C, nó gửi thông tin thiết bị và bắt đầu chờ các hướng dẫn.

Phần mềm độc hại có một số tính năng giống như trong Mirai trước đây, vnhư tên tiến trình ngẫu nhiên, mã hóa thông tin cấu hình, hỗ trợ những xu hướng tấn công DDoS hay thực tế chỉ là một phiên bản phần mềm độc hại đơn lẻ chạy tại một thời điểm. Tuy nhiên, khác với Mirai, nó sử dụng giao thức websocket (giao thức hỗ trợ giao tiếp hai chiều giữa client và server để tạo một kết nối trao đổi dữ liệu. Giao thức này không sử dụng HTTP mà thực hiện nó qua TCP).

Các tính năng của Ttint cho phép những kẻ tấn công từ xa truy nhập vào mạng nội bộ của bộ định tuyến, chiếm quyền truy nhập mạng để có thể đánh cắp thông tin nhạy cảm, thiết lập các quy tắc của việc gửi lưu lượng và lợi dụng reverse shell (một môi trường lệnh trong đó máy mục tiêu bắt đầu kết nối với máy tấn công) như một local shell (môi trường các lệnh cục bộ). Phần mềm độc hại cũng tự cập nhật chính nó hoặc tự hủy tiến trình và thực thi các lệnh mà máy chủ C&C yêu cầu.

Ttint hỗ trợ tổng số 22 lệnh, bao gồm lệnh khởi chạy các cuộc tấn công DDoS.

Những người dùng bộ định tuyến Tenda nên kiểm tra firmware trên các thiết bị của mình và đảm bảo cài đặt các bản cập nhật sẵn có. Người dùng cũng nên giám sát và ngăn chặn các IoC (các hệ thống điều khiển đầu vào/đầu ra) được chia sẻ bởi 360 Netlab.

Nổi bật Tạp chí Thông tin & Truyền thông
  • Báo chí quốc tế viết gì về Triển lãm Quốc phòng quốc tế Việt Nam 2024?
    Sự kiện Triển lãm Quốc phòng quốc tế Việt Nam năm 2024 thu hút sự chú ý trong - ngoài nước và cả nhiều cơ quan truyền thông quốc tế.
  • “AI như là một chiếc gương đen”
    Bài báo "AI is the Black Mirror" của Philip Ball cung cấp một cái nhìn chi tiết về trí tuệ nhân tạo (AI) và tác động của nó đến nhận thức con người.
  • Chất lượng thông tin báo chí về kinh tế - Vai trò, yêu cầu thước đo và giải pháp cần có
    Báo chí kinh tế cần là diễn đàn thực thụ cho doanh nghiệp, không chỉ cung cấp thông tin. Thông tin cần chính xác và kịp thời để hỗ trợ doanh nghiệp trong điều chỉnh chiến lược kinh doanh.
  • Những “ngọn đuốc” ở bản
    Ở Tuyên Quang, người có uy tín là những người đi đầu thay đổi nếp nghĩ, cách làm của bà con dân tộc thiểu số (DTTS). Họ như những “ngọn đuốc” đi trước, thắp sáng, lan tỏa tinh thần trách nhiệm, nêu gương với cộng đồng. Gương mẫu, uy tín, những người có uy tín đã và đang góp sức xây dựng bản làng, thôn xóm ngày càng ấm no, giàu mạnh.
  • 5 lý do để tăng cường bảo mật mạng
    Các chương trình an ninh mạng đã phát triển đáng kể trong vài thập kỷ qua. Sự ra đời của điện toán đám mây đã phá vỡ ranh giới an ninh mạng thông thường của của các doanh nghiệp, buộc các tổ chức phải liên tục cập nhật những chiến lược phòng thủ của mình.
Đừng bỏ lỡ
Botnet mới nhắm vào các lỗ hổng Zero-day trong bộ định tuyến Tenda
POWERED BY ONECMS - A PRODUCT OF NEKO