Botnet mới nhắm vào các lỗ hổng Zero-day trong bộ định tuyến Tenda

Loại botnet mới này có tên Ttint, là một loại Trojan truy nhập từ xa (RAT - Remote Access Trojan). Giống như mọi thế hệ sau này của Mirai, chúng cũng thực hiện 12 tính năng truy nhập từ xa, bao gồm một proxy Socket5, sửa đổi bộ định tuyến DNS và ứng dụng tường lửa iptable đồng thời chạy các lệnh hệ thống.

Để tránh bị phát hiện lưu lượng truy nhập đặc thù mà các botnet Mirai tạo ra, Ttint sử dụng giao thức WSS (WebSocket over TLS) để giao tiếp với máy chủ điều khiển và ra lệnh (C&C) và cũng sử dụng cả mã hóa.

Hoạt động của botnet lần đầu tiên được phát hiện vào tháng 11/2019, khi những kẻ tấn công bắt đầu lợi dụng lỗ hổng zero-day trong các bộ định tuyến của Tenda (CVE-2020-10987). Lỗ hổng thứ 2 bắt đầu bị khai thác vào tháng 8/2020, nhưng 360 Netlab cho biết các nhà cung cấp đã không trả lời những email báo cáo lỗ hổng này.

Theo 360 Netlab: "Chúng tôi đã phân tích và so sánh các mẫu Ttint trong 2 giai đoạn và tìm thấy những hướng dẫn của máy chủ điều khiển bằng lệnh của chúng hoàn toàn giống nhau nhưng chúng có một số khác biệt về lỗ hổng zero-day, khóa XOR và giao thức mà máy chủ C&C của chúng sử dụng".

Các nhà nghiên cứu cho biết, Ttint xóa các tệp tin của chính mình khi thực thi, sửa đổi tên tiến trình của mình, điều khiển giám sát và có thể ngăn chặn thiết bị khởi động lại. Sau khi thiết lập kết nối với C&C, nó gửi thông tin thiết bị và bắt đầu chờ các hướng dẫn.

Phần mềm độc hại có một số tính năng giống như trong Mirai trước đây, vnhư tên tiến trình ngẫu nhiên, mã hóa thông tin cấu hình, hỗ trợ những xu hướng tấn công DDoS hay thực tế chỉ là một phiên bản phần mềm độc hại đơn lẻ chạy tại một thời điểm. Tuy nhiên, khác với Mirai, nó sử dụng giao thức websocket (giao thức hỗ trợ giao tiếp hai chiều giữa client và server để tạo một kết nối trao đổi dữ liệu. Giao thức này không sử dụng HTTP mà thực hiện nó qua TCP).

Các tính năng của Ttint cho phép những kẻ tấn công từ xa truy nhập vào mạng nội bộ của bộ định tuyến, chiếm quyền truy nhập mạng để có thể đánh cắp thông tin nhạy cảm, thiết lập các quy tắc của việc gửi lưu lượng và lợi dụng reverse shell (một môi trường lệnh trong đó máy mục tiêu bắt đầu kết nối với máy tấn công) như một local shell (môi trường các lệnh cục bộ). Phần mềm độc hại cũng tự cập nhật chính nó hoặc tự hủy tiến trình và thực thi các lệnh mà máy chủ C&C yêu cầu.

Ttint hỗ trợ tổng số 22 lệnh, bao gồm lệnh khởi chạy các cuộc tấn công DDoS.

Những người dùng bộ định tuyến Tenda nên kiểm tra firmware trên các thiết bị của mình và đảm bảo cài đặt các bản cập nhật sẵn có. Người dùng cũng nên giám sát và ngăn chặn các IoC (các hệ thống điều khiển đầu vào/đầu ra) được chia sẻ bởi 360 Netlab.