Các nhà nghiên cứu cho biết một biến thể mới của botnet Gafgyt – đang chủ động nhắm mục tiêu vào các thiết bị D-Link và Internet of Things dễ bị tấn công – là biến thể đầu tiên của phần mềm độc hại dựa vào giao tiếp Tor, các nhà nghiên cứu cho biết.

Họ đã phát hiện ra biến thể đầu tiên của họ botnet Gafgyt che giấu hoạt động của nó bằng mạng Tor. Gafgyt là một  mạng botnet bị phanh phui vào năm 2014 , khét tiếng vì tung ra các cuộc tấn công từ chối dịch vụ phân tán (DDoS) quy mô lớn. Các nhà nghiên cứu lần đầu tiên phát hiện ra hoạt động từ biến thể mới nhất gọi là Gafgyt_tor, vào ngày 15 tháng 2.

Để tránh bị phát hiện, Gafgyt_tor sử dụng Tor để ẩn các giao tiếp lệnh và kênh điều khiển (C2) của nó và mã hóa các chuỗi nhạy cảm trong các mẫu. Việc sử dụng Tor bởi các phần mềm độc hại không có gì mới;  tuy nhiên, các nhà nghiên cứu cho biết họ chưa thấy Gafgyt tận dụng mạng ẩn danh cho đến nay.

Các nhà nghiên cứu của NetLab 360 cho biết: “So với các biến thể Gafgyt khác, thay đổi lớn nhất của Gafgyt_tor là giao tiếp C2 dựa trên Tor, điều này làm tăng độ khó của việc phát hiện và ngăn chặn,” các nhà nghiên cứu của NetLab 360 cho biết vào hôm thứ Năm . “Cơ chế giao tiếp C2 dựa trên Tor đã được thấy trong các mã độc khác mà chúng tôi đã phân tích trước đây… nhưng đây là lần đầu tiên chúng tôi gặp nó trong gia đình Gafgyt.”

Cơ chế lan truyền và Những chức năng mới của Gafgyt_tor Botnet

Mạng botnet này chủ yếu được lan truyền thông qua mật khẩu Telnet yếu – một vấn đề phổ biến trên các thiết bị internet vạn vật – và thông qua việc khai thác ba lỗ hổng. Các lỗ hổng này bao gồm lỗ hổng thực thi mã từ xa (CVE-2019-16920) trong các thiết bị D-Link ; lỗ hổng thực thi mã từ xa trong phần mềm cổng doanh nghiệp Liferay (không có sẵn CVE); và một lỗ hổng (CVE-2019-19781) trong Bộ điều khiển phân phối ứng dụng Citrix.

Các nhà nghiên cứu cho biết, cấu trúc mã chức năng chính của Gafgyt_tor bổ sung chức năng Tor proxy để cung cấp địa chỉ của máy chủ IP – cho thấy những thay đổi trên diện rộng.

“Hàm initConnection () ban đầu, chịu trách nhiệm thiết lập kết nối C2, đã biến mất, được thay thế bằng một phần lớn mã chịu trách nhiệm thiết lập kết nối Tor,” họ nói.

Các biến thể Botnet Gafgyt khác

Gafgyt.tor chỉ là biến thể mới nhất của mạng botnet phổ biến được đưa ra ánh sáng. Vào năm 2019, các nhà nghiên cứu đã cảnh báo về một biến thể Gafgyt mới bổ sung các thiết bị IoT dễ bị tấn công vào kho vũ khí botnet của nó và sử dụng chúng để làm tê liệt các máy chủ chơi game trên toàn thế giới.

Vào năm 2018, các nhà nghiên cứu cho biết họ đã phát hiện ra các biến thể mới cho mạng botnet IoT Mirai và Gafgyt  nhắm mục tiêu vào các lỗ hổng nổi tiếng trong Apache Struts và SonicWall; cũng như một cuộc tấn công riêng biệt chủ động khởi chạy hai chiến dịch mạng botnet IoT / Linux , khai thác lỗi CVE-2018-10562 và CVE-2018-10561 trong bộ định tuyến Dasan .

Gần đây hơn, năm ngoái, một mạng botnet có tên  Hoaxcalls đã xuất hiện , như một biến thể của họ Gafgyt. Mạng botnet, có thể được điều khiển cho các chiến dịch từ chối dịch vụ phân tán (DDoS) quy mô lớn, đang lây lan thông qua một lỗ hổng chưa được vá ảnh hưởng đến ZyXEL Cloud CNM SecuManager.

BQT Security365 / Nguồn ThreatPost

Nguyễn Trần Tường Vinh