Một loại virus mới xuất hiện tấn công vào hệ thống Linux, được gọi là "Linux/Shishiga" có thể trở thành mối đe dọa lớn về bảo mật.
Vào hôm thứ ba, công ty bảo mật Eset đã tiết lộ về mối đe dọa này, nó là một nhóm Lua mới, nhưng không hề có liên quan gì đến loại LuaBot đã được biết đến trước đây.
Trên một bài đăng trực tuyến, kĩ sư Michal Malik và công ty bảo mật Eset cho hay: Linux/Shishiga sử dụng bốn giao thức khác nhau - SSH, Telnet, HTTP, BitTorrent - và các đoạn script Lua cho mođun.
Giám đốc cấp cao của Cyphort - Nick Bilogorskiy cho biết: "Lua là ngôn ngữ lập trình được nhà sản xuất APT lựa chọn".
Theo như Cyphort phát hiện và cho LinuxInsider hay: Lua được sử dụng cho Flame và EvilBunny.
Lua là ngôn ngữ lập trình đặc trưng bởi tính gọn nhẹ và bản chất có thể nhúng, chính điều đó đã biến Lua thành một ngôn ngữ lập trình hệ thống hiệu quả. Nó hỗ trợ lập trình thủ tục, lập trình hướng đối tượng, lập trình hướng chức năng, lập trình điều khiển bởi dữ liệu và mô tả dữ liệu.
Ông Jacob Ansari - Giám đốc PCI tại công ty Schellman & Company nhận định: "Tuy loại phần mềm độc hại này không phá vỡ bất kỳ lỗ hổng bảo mật nào, nhưng nó sẽ tinh chỉnh một số kỹ thuật hiện có mà nó "mượn" được từ những phần mềm độc khác."
Ông Jacob Ansari còn cho biết: "Linux/Shishiga sử dụng một loạt các mô-đun trong một ngôn ngữ lập trình kịch bản được gọi là 'Lua', điều này tạo cho nó thiết kế linh hoạt hơn". Rất có khả năng các biến thể của mã này cùng nhiều khả năng thú vị khác sẽ lan truyền nhờ thiết kế mô-đun này.
Bạn có thể tham khảo: Cách cài đặt và sử dụng Kali Linux trên máy ảo VmWare
Vậy Linux/Shishiga làm những gì?
Linux/Shishiga nhắm vào hệ thống GNU/Linux sử dụng một loại lây nhiễm phổ biến dựa trên kỹ thuật Brute-force áp dụng cho các danh sách mật khẩu được cài sẵn. Kỹ thuật này là một kiểu thử đúng sai liên tục vào phần đăng nhập nào đó, thường sử dụng những thư viện mật khẩu có sẵn để tự động đăng nhập cho đến khi thành công. Vì dựa trên Brute-fore nên phần mềm độc hại này cũng dùng danh sách password để thử nhiều loại mật khẩu khác nhau hòng cố gắng truy cập vào hệ thống. Đây là cách tiếp cận tương tự mà phần mềm độc mà Linux/Moose sử dụng với khả năng bổ sung của kiểu tấn công Brute-forcing.
Nếu mang ra so sánh, Linux/Moose là một nhóm phần mềm độc hại chủ yếu nhắm mục tiêu vào bộ định tuyến dựa trên Linux, cáp và modem DSL cũng như các máy tính nhúng khác. Khi nhiễm độc, các thiết bị đã bị xâm nhập được hacker dùng để ăn cắp lưu lượng mạng không mã hóa và cung cấp proxy cho nhà điều hành mạng bonet.
Eset đã tìm ra một số bộ đôi (binary) của Linux/Shishiga cho những kiến trúc khác nhau, bao gồm cả MIPS (cả big-endian và little-endian), ARM (armv4l), i686 và PowerPC, thường được sử dụng trong các thiết bị IoT. Các cấu trúc khác như SPARC, SH-4 hay m68k cũng có thể được hỗ trợ.
Chi tiết về Shishiga
Linux/Shishiga là một bộ đôi khép kín với UPX (Ultimate Packer Executable) 3.91. Công cụ UPX có thể gặp sự cố khi giải nén bởi Shishiga bổ sung dữ liệu vào cuối các file nén. Sau khi giải nén, nó được liên kết tĩnh với thư viện runtime Lua và loại bỏ mọi dấu vết.
Ông Malik và cộng sự đã nhận thấy một số thay đổi nhỏ như các phần của một số mô-đun đã được viết lại, những mô-đun đang kiểm tra khác thì lại được thêm vào và các tâp tin dự phòng đã bị xóa. Họ cũng thừa nhận, tất cả những thay đổi này không có cái nào thực sự đáng chú ý.
Ông Malik và nhóm cộng sự cũng cho biết thêm: Chức năng chính của mô-đun server.lua là tạo máy chủ HTTP với cổng được định nghĩa trong config.lua như cổng 8888. Máy chủ chỉ phản hồi tới các yêu cầu /info và /upload.
"Sự kết hợp việc sử dụng ngôn ngữ lập trình kịch bản và liên kết nó tĩnh với thư viện thông dịch Lua rất thú vị". Ông Mounir Hahad - Giám đốc cấp cao tại phòng thử nghiệm của Cyphort cho hay.
Ông nói với LinuxInsider: "Điều này có nghĩa là các tác giả đã chọn Lua là ngôn ngữ lập trình kịch bản để dễ sử dụng, hoặc lấy mã từ một nhóm phần mềm độc hại khác, sau đó điều chỉnh nó cho từng cấu trúc cụ thể bằng cách liên kết tĩnh đến thư viện Lua".
Sự khác biệt của Linux/Shishiga
Theo Malik và các nhà nghiên cứu của Eset: Dù có sự tương đồng nổi bật với các phiên bản của LuaBot từng lây lan trên Telnet và SSH thì Linux/Shishiga vẫn khác biệt. Nó sử dụng giao thức BitTorrent và mô-đun Lua.
Hahad cho hay: "Không giống như phần mềm độc hại Mirai của IoT là nhắm vào các thông tin mặc định trên các thiết bị IoT, kỹ thuật tấn công Brute-force này nhắm mục tiêu tấn công đến các máy tính Linux được bảo vệ bởi mật khẩu yếu".
Ông cũng chỉ ra rằng: "Thông thường, người dùng Linux khá am hiểu và sẽ không sử dụng những mật khẩu như vậy cho các hoạt động đăng ký của mình. Do đó, chưa chắc phần mềm độc hại này có thể lan tràn rộng rãi."
Các nhà nghiên cứu Eset đã cảnh báo rằng số lượng nạn nhân hiện nay thấp, tuy nhiên có thể tăng lên trong thời gian tới.
Theo như ông Ansari của Schellman & Company: Điều này có khả năng xảy ra. Phần mềm độc hại mới này khai thác các mật khẩu mặc định hoặc dễ đoán cho các hệ thống Linux, thường qua Telnet hoặc SSH.
Giữ an toàn
Ông Vikram Kapoor - Giám đốc công nghệ tại Lacework lưu ý: Hầu hết các máy Linux đang chạy trong trung tâm dữ liệu hoặc nhúng trong các thiết bị IoT. Và Shishiga có vẻ như được tạo ra để nhắm tới các trung tâm dữ liệu và các thiết bị IoT đó.
Ông Kapoor cho biết: Các thiết bị IoT rất dễ bị tấn công bằng kỹ thuật Brute-force thông qua SSH/Telnet vì có quá nhiều mật khẩu mặc định. Ngoài ra, các trung tâm dữ liệu cũng là những mục tiêu béo bở và nếu hacker sử dụng thành công Shishiga để tấn công trung tâm dữ liệu, các doanh nghiệp sẽ gặp khó khăn trong việc tìm ra dấu vết của chúng, trừ khi họ có một vài hướng giải quyết như phân tích sâu hoạt động VM và traffic east-west (traffic từ máy chủ đến máy chủ).
Ông Malik và nhóm nghiên cứu Eset gợi ý: Để ngăn chặn thiết bị của bạn khỏi nhiễm virus từ Shishiga và các loại virus tương tự, bạn không nên sử dụng các thông tin đăng nhập Telnet và SSH dạng mặc định.
Theo ông Ansari, việc chống lại phần mềm độc hại này đòi hỏi phải thay đổi mật khẩu quản trị viên, đặc biệt đối với những người dùng bị bỏ quên đang ẩn trong các góc trên hệ thống. Để chống lại loại đe dọa này cần phải có biện pháp bảo vệ sâu rộng mà các nhân viên bảo mật đã nhắc tới nhiều lần rồi: tích cực khắc phục, xem xét cẩn thận nhật kí dữ liệu, tìm kiếm tập tin, quá trình khả nghi và kiểm tra nghiêm ngặt các phản hồi.