Mayhem — Một phần mềm độc hại mới nhắm vào các máy chủ web Linux và FreeBSD

Các nhà nghiên cứu bảo mật từ gã khổng lồ Internet Nga Yandex đã phát hiện ra một phần mềm độc hại mới đang được sử dụng để nhắm mục tiêu Máy chủ web Linux và FreeBSD để biến chúng thành một phần của mạng botnet rộng lớn, thậm chí không cần bất kỳ quyền root nào.

Các nhà nghiên cứu gọi phần mềm độc hại là Mayhem, một phần mềm độc hại khó chịu mô-đun bao gồm một số tải trọng để gây ra những thứ độc hại và mục tiêu chỉ lây nhiễm cho những máy không được cập nhật các bản vá bảo mật hoặc ít có khả năng chạy phần mềm bảo mật.

Ba chuyên gia bảo mật, Andrej Kovalev, Konstantin Ostrashkevich và Evgeny Sidorovngười làm việc tại cổng Internet Yandex có trụ sở tại Nga, đã phát hiện ra phần mềm độc hại nhắm mục tiêu máy chủ *nix. Họ có thể theo dõi quá trình truyền từ các máy tính bị nhiễm đến hai máy chủ chỉ huy và kiểm soát (C&C).

“Trong thế giới *nix, các công nghệ tự động cập nhật không được sử dụng rộng rãi, đặc biệt là khi so sánh với máy tính để bàn và điện thoại thông minh. Phần lớn các quản trị viên web và quản trị viên hệ thống phải cập nhật phần mềm của họ theo cách thủ công và kiểm tra xem cơ sở hạ tầng của họ có hoạt động chính xác không,” bộ ba đã viết trong một báo cáo kỹ thuật cho Virus Bulletin.

“Đối với các trang web thông thường, việc bảo trì nghiêm túc là khá tốn kém và thường quản trị viên web không có cơ hội để thực hiện. Điều này có nghĩa là tin tặc dễ dàng tìm thấy các máy chủ web dễ bị tấn công và sử dụng các máy chủ đó trong mạng botnet của chúng.“

Các nhà nghiên cứu nói rằng loại phần mềm độc hại mới này có thể hoạt động dưới các đặc quyền bị hạn chế trên hệ thống và đã được tạo ra bằng cách ghi nhớ nhiều chức năng. Cuộc tấn công độc hại được thực hiện thông qua một tập lệnh PHP tinh vi hơn, có tỷ lệ phát hiện thấp với các công cụ chống vi-rút có sẵn.

Giao tiếp của hệ thống được thiết lập với các máy chủ chỉ huy và kiểm soát, có thể gửi cho phần mềm độc hại các hướng dẫn khác nhau. Như chúng tôi đã đề cập ở trên, Mayhem là một mô-đun, các chức năng của nó có thể được mở rộng thông qua các plugin và hiện tại có tám plugin đã được phát hiện, chúng được liệt kê bên dưới:

• rfiscan.so – Tìm các trang web chứa lỗ hổng bao gồm tệp từ xa (RFI)
• wpenum.so – Liệt kê người dùng của các trang web WordPress
• cmsurls.so – Xác định các trang đăng nhập của người dùng trong các trang web dựa trên WordPress CMS
• vũ phu.so – Mật khẩu vũ phu cho các trang web dựa trên WordPress và Joomla CMS
• bruteforceng.so – Mật khẩu vũ phu cho hầu hết mọi trang đăng nhập
• ftpbrute.so – Tài khoản FTP vũ phu
• crawlerng.so – Thu thập thông tin trang web (theo URL) và trích xuất thông tin hữu ích
• crawlerip.so – Thu thập thông tin trang web (theo IP) và trích xuất thông tin hữu ích

Sau khi phần mềm độc hại khai thác RFI hoặc bất kỳ điểm yếu nào khác được đề cập ở trên và được cài đặt, nó sẽ chạy tập lệnh PHP trên nạn nhân. Tập lệnh PHP giết tất cả ‘/usr/bin/máy chủ‘ xử lý, kiểm tra kiến ​​trúc hệ thống và hệ điều hành (dù là Linux hay FreeBSD), sau đó loại bỏ một đối tượng độc hại được xác định là ‘libworker.so‘.

Trong khi đó, tập lệnh PHP cũng định nghĩa một biến có tên ‘ÂU‘, bao gồm URL đầy đủ của tập lệnh đang được thực thi. Nó cũng thực thi shell script đang được thực thi, sau đó ping máy chủ Command-and-Control của nó.

Phần mềm độc hại sau đó tạo ra một hệ thống tệp ẩn, được gọi là sd0và tải xuống tất cả tám phần bổ trợ ở trên, không phần bổ trợ nào được phát hiện bởi VirusTotal công cụ quét phần mềm độc hại.