Mã độc TrickBot có thêm biến thể cực kỳ nguy hiểm trên Linux, có thể lây lan chéo sang thiết bị Windows

Anchor, một trong những framework của mã độc TrickBot, vừa có thêm biến thể trên hệ điều hành Linux. Biến thể này cực kỳ nguy hiểm bởi nó có thể sử dụng phương thức tấn công covert channels để lây nhiễm ngược sang thiết bị Windows hoặc các mục tiêu giá trị cao hơn.

TrickBot là một mã độc đa mục đích trên Windows với các mô-đun khác nhau, phục vụ các hoạt động tấn công khác nhau. TrickBot có thể đánh cắp thông tin, đánh cắp mật khẩu, cài cắm mã độc vào tên miền Windows và phân phối mã độc...

Thông thường, những kẻ tấn công mạng sẽ thuê TrickBot để xâm nhập vào mạng của nạn nhân và thu thập thông tin có giá trị. Cuối cùng, TrickBot được sử dụng để triển khai các ransomware như Ryuk và Conti, mã hóa tập tin của nạn nhân để yêu cầu tiền chuộc.

Cấu trúc của framework Anchor
Cấu trúc của framework Anchor

Cuối năm 2019, cả SentinelOne và NTT đều báo cáo về một framework TrickBot mới có tên Anchor, sử dụng DNS để liên hệ với máy chủ điều khiển của nó. Anchor_DNS thường nhắm vào các mục tiêu có giá trị cao, tác động lớn với thông tin tài chính đắt giá.

Bên cạnh triển khai ransomware thông qua Anchor, các đối tượng xấu đứng đằng sau TrickBot Anchor còn sử dụng nó như một backdoor trong các chiến dịch dạng APT nhắm vào máy tính tiền POS và các hệ thống tài chính.

Framework Anchor có thêm biến thể trên Linux, nguy hiểm hơn rất nhiều

Từ trước tới nay, Anchor luôn được coi là mã độc của Windows. Tuy nhiên, nhà nghiên cứu bảo mật Waylon Grange của hãng Stage 2 Security gần đây đã phát hiện ra một biến thể mới của Anchor trên Linux. 

Anchor_Linux bị phát hiện trên Linux
Anchor_Linux bị phát hiện trên Linux

Biến thể này được đặt tên Anchor_Linux. Chuyên gia tại Intel, Vitali Kremez cũng xác nhận rằng khi được cài đặt, Anchor_Linux sẽ tự cấu hình để chạy mỗi phút một lần bằng các sử dụng mục crontab sau:

*/1 * * * * root [filename]
Anchor_Linux tự cấu hình để chạy qua CRON
Anchor_Linux tự cấu hình để chạy qua CRON

Bên cạnh việc hoạt động như một backdoor, đưa mã độc vào thiết bị Linux để cài đặt và khởi chạy, Anchor_Linux còn có chứa mã thực thi TrickBot trên Windows. Vì thế, nó có thể được kẻ xấu dùng để đưa mã độc TrickBot lên các máy chủ Windows trong cùng một mạng qua phương thức SMB và $IPC.

Mã thực thi
Mã thực thi TrickBot trên Windows được nhúng trong Anchor_Linux

Sau khi sao chép thành công lên các thiết bị Windows, Anchor_Linux sẽ tự cấu hình nó thành một dịch vụ Windows bằng giao thức Service Control Manager Remote và SMB SVCCTL. Khi cấu hình xong, mã độc này sẽ được khởi động lại trên máy chủ Windows, kết nối lại với máy chủ điều khiển của nó để bắt đầu thực thi các lệnh khai thác thông tin, phá hoại.

Phương thức copy tập tin qua SMB
Phương thức copy tập tin qua SMB

Anchor_Linux cho phép hacker nhắm vào các hệ thống không chạy Windows sau đó dùng phương thức tấn công covert channel để lây nhiễm mã độc sang các thiết bị Windows trong cùng mạng. Đây được đánh giá là một phương thức tấn công nguy hiểm bởi nhiều thiết bị IoT như router, VPN, NAS chạy hệ điều hành Linux có thể trở thành mục tiêu của Anchor_Linux.

Với sự xuất hiện của Anchor_Linux, các chuyên gia bảo mật phải quan tâm hơn nữa khả năng bảo mật của các thiết bị IoT cũng như triển khai giám sát thường xuyên, tránh sự xâm nhập của mã độc. Khi bị nhiễm, Anchor_Linux sẽ tạo ra một tập tin nhật ký tại /tmp/anchor.log. Nếu tìm kiếm thấy tập tin này trên hệ thống của mình, bạn nên kiểm tra một cách toàn diện hệ thống mạng để loại bỏ Anchor_Linux.

Theo các chuyên gia bảo mật, Anchor_Linux hiện vẫn còn đang trong giai đoạn phát triển. Trong tương lai nó sẽ còn nguy hiểm hơn nữa.

Thứ Sáu, 31/07/2020 10:10
31 👨 130
0 Bình luận
Sắp xếp theo