Botnet Gitpaste-12 đe doạ Linux Server, IoT: Câu chuyện bảo mật thời 4.0


Đợt bùng phát của botnet Gitpaste-12 đầu tiên là vào khoảng tháng 10 đến tháng 11/2020, đây là một botnet nguy hiểm, bởi khả năng núp bóng đằng sau các dịch vụ nổi tiếng như GitHub hay Pastebin để phát tán/cài đặt các thành phần độc hại lên máy nạn nhân.

botnet-gitpaste-12-de-doa-linux-server-va-iot (4)

#1. Sơ lược về Gitpaste-12

Botnet này được biết đến dưới dạng botnet đào tiền ảo “crypto-mining Gitpaste-12”, và Juniper Threat Labs là hãng phát hiện ra nó đầu tiên.

Gitpaste-12 lợi dụng GitHub để lưu trữ mã độc online (khoảng 12 module), còn Pasterbin URL để lưu trữ các câu lệnh thực thi các mã độc này.

Sau khi hoạt động được 12 ngày (từ 15/10/2020) thì bị các hãng bảo mật phát giác, dẫn đến vào ngày 30/10/2020 thì các tài khoản Pastebin và GitHub độc này bị gỡ xuống.

Rồi thì mới đây không lâu, từ 10/11/2020 (theo Juniper cho hay) thì đợt phát tán thứ 2 của Gitpaste-12 lại tiếp tục với một GitHub repo và một acc Pastebin khác.

Lần này, cách thức hoạt động của nó tinh vi hơn với 3 thành phần chính như sau:

  • Phần mềm đào tiền ảo chạy trên Linux.
  • File từ điển chứa mật khẩu để cho tool brute-force sử dụng.
  • Module hỗ trợ khai thác lỗi chiếm quyền admin đối với các HĐH Linux x86_64.

Mình xin nói kỹ hơn về cách thức hoạt động của con “sâu” này (tức là “worm” theo cách gọi dựa trên phân loại mã độc, nhiều con “sâu” bị lây nhiễm tạo thành một botnet):

Khi người dùng vô tình mở file thực thi chứa mã độc hại (chương trình X10-unix, được lập trình bằng ngôn ngữ Go, chạy được trên cả MIPS/ARM/Windows), thì phần mềm này sẽ tự động truy cập đến các “hướng dẫn độc hại tiếp theo” được lập trình sẵn ở trên 1 GitHub repo + 1 Pastebin cố định.


botnet-gitpaste-12-de-doa-linux-server-va-iot (1)

#2. Cách thức Gitpaste-12 hoạt động

Theo nhà nghiên cứu Asher Langton của hãng Juniper thì: “Loại worm này khai thác rất nhiều lỗ hổng đối với nhiều đối tượng: ứng dụng web, IP camera, thiết bị Router và các thiết bị IoT khác (tầm 31 lỗ hổng, có cả lỗ hổng 0-day nữa, dễ sợ thật !)

Điểm đặc biệt là nó có thể lợi dụng ADB của các máy Android để cài malware, nếu phát hiện đối tượng đã bị nhiễm “sâu” trước đó thì nó sẽ tận dụng backdoor có sẵn này luôn.

botnet-gitpaste-12-de-doa-linux-server-va-iot (2)

Các lỗ hổng nổi bật (mới xuất hiện trong năm nay) trong 31 cái mà Gitpaste-12 sử dụng:

  • Lỗi thực thi mã từ xa của ứng dụng F5 BIG-IP Traffic Management User Interface (CVE-2020-5902)
  • Pi-hole Web (CVE-2020-8816)
  • Tenda AC15 AC1900 (CVE-2020-10987)
  • vBulletin (CVE-2020-17496)
  • SQL injection của FUEL CMS (CVE-2020-17463)

Đối với nạn nhân sử dụng hệ điều hành Android thì sau khi cài chương trình độc hại X10-unix và phần mềm đào tiền ảo Monero lên máy nạn nhân => thì malware còn mở 2 cổng backdoor là 30004 30006, rồi upload địa chỉ IP nạn nhân lên Pastebin.

botnet-gitpaste-12-de-doa-linux-server-va-iot (3)

Nếu phát hiện nạn nhân có ADB ở port 5555 thì nó sẽ tự mở kết nối, và tất nhiên nếu ADB Android của nạn nhân bảo mật kém thì malware sẽ tải về và cài đặt ứng dụng weixin.apk để chạy những câu lệnh độc hại khác.

#3. Lời kết

Hiện tại thì hãng bảo mật Juniper chỉ mới xác định được 100 host bị nhiễm malware, và với cơ chế lan truyền thông qua lỗi 0-day thì chưa biết có bao nhiêu nạn nhân tiếp theo nữa, theo cấp số nhân chứ không đùa các bạn ạ @@

Trong thời đại công nghệ 4.0, các hãng bảo mật, các chuyên gia càng xây dựng nhiều công cụ bảo mật, nền tảng an ninh bao nhiêu thì các biến thể của “virus” lại càng tiến hóa mạnh mẽ bấy nhiêu, kiểu như “đạo cao 1 thước, ma cao 1 trượng” vậy!

Các bạn cần nâng cao cảnh giác khi truy cập web lạ, mở file không rõ nguồn gốc, tránh trở thành “zombie” trong botnet đi hại người này.

Đọc thêm:

Tốt nhất là sử dụng chương trình bảo mật/diệt virus bản quyền như của Kaspersky hay ESET Internet Security kể cả trên điện thoại lẫn Laptop nha các bạn !


CTV: Dương Minh Thắng – Blogchiasekienthuc.com

Note: Bài viết này hữu ích với bạn chứ? Đừng quên đánh giá bài viết, like và chia sẻ cho bạn bè và người thân của bạn nhé !

Administrator: Kiên Nguyễn Blog

Có một câu nói của người Nhật mà mình rất thích đó là " Người khác làm được thì mình cũng làm được ". Chính vì thế mà hãy theo đuổi đam mê, thành công sẽ theo đuổi bạn ! Nếu như bạn đang gặp khó khăn và cần sự trợ giúp thì hãy comment phía bên dưới mỗi bài viết để nhận được sự hỗ trợ từ cộng đồng Blog Chia Sẻ Kiến Thức nhé.

Một vài lưu ý trước khi comment :

Thư điện tử của bạn sẽ không được hiển thị công khai. Các trường bắt buộc được đánh dấu *
Tất cả các comment của các bạn sẽ được giải đáp trong vòng 48h (thường vào buổi tối)!
Không được sử dụng từ khóa trong ô 'Name', bạn hãy dùng tên thật hoặc Nickname của bạn !
Không dẫn link sang trang web/blog khác. Xem quy định comment tại đây. Thank All!

Leave a Reply

Your email address will not be published. Required fields are marked *