Sử dụng phần mềm Free Download Manager để cài đặt backdoor trên Linux
Các nhà nghiên cứu của Kaspersky đã xác định một chiến dịch độc hại mới nhắm mục tiêu vào các hệ thống Linux, trong đó các tin tặc đã triển khai backdoor - một loại Trojan vào thiết bị của nạn nhân bằng cách sử dụng phiên bản bị lây nhiễm của một phần mềm miễn phí phổ biến: Free Download Manager.
Các nhà nghiên cứu đã tiến hành phân tích một nhóm tên miền đáng ngờ có thể là nơi chứa phần mềm độc hại sử dụng thuật toán tạo miền cho liên lạc máy chủ C2, cụ thể là tên miền “fdmpkg[.]org”.
Kho lưu trữ Debian độc hại
Hình 1. Tên miền deb[.]fdmpkg[.]org
Theo đề xuất của trang, tên miền “deb[.]fdmpkg[.]org” sẽ lưu trữ kho lưu trữ Debian của phần mềm Free Download Manager. Các nhà nghiên cứu còn phát hiện thêm gói Debian của phần mềm này có sẵn để tải xuống từ URL “https://deb.fdmpkg[.]org/freedownloadmanager.deb”. Sau khi phân tích thì gói này chứa tập lệnh “postinst” bị nhiễm được thực thi khi cài đặt. Tập lệnh này đã nhúng hai tệp ELF vào đường dẫn “/var/tmp/crond” và “/var/tmp/bs”. Sau đó, nó thiết lập tính bền vững bằng cách tạo một tác vụ “cron” (được lưu trong tệp “/etc/cron.d/collect”) để khởi chạy tệp “/var/tmp/crond” cứ sau 10 phút.
Phiên bản Free Download Manager bị nhiễm cài đặt mã độc đã được phát hành vào ngày 24/1/2020. Trong khi đó, tập lệnh postinst chứa các nhận xét bằng tiếng Nga và tiếng Ukraina, bao gồm thông tin về các cải tiến được thực hiện đối với phần mềm độc hại cũng như các tuyên bố của nhà hoạt động.
Backdoor dựa trên DNS
Sau khi cài đặt gói độc hại, tệp thực thi “/var/tmp/crond” sẽ được khởi chạy mỗi lần khởi động thông qua cron. Tệp thực thi này là backdoor và nó không nhập bất kỳ chức năng nào từ các thư viện bên ngoài.
Khi khởi động, backdoor này tạo một bản ghi A đối với tên miền “<chuỗi 20 byte được mã hóa hex>.u.fdmpkg[.]org”. Để đáp ứng yêu cầu này, backdoor nhận được hai địa chỉ IP mã hóa địa chỉ và cổng của máy chủ C2 thứ cấp, bao gồm: 172[.]111[.]48[.]101 và 172[.]1[.]0[.]80.
Địa chỉ IP đầu tiên trong danh sách trên là địa chỉ của máy chủ C2 thứ cấp, trong khi địa chỉ thứ hai chứa cổng kết nối (được mã hóa trong octet thứ ba và thứ tư) và loại kết nối (được mã hóa trong octet thứ hai).
Sau khi phân tích phản hồi của yêu cầu DNS, backdoor sẽ khởi chạy một tập lệnh Reverse Shell sử dụng máy chủ C2 thứ cấp để liên lạc. Giao thức truyền thông, tùy thuộc vào loại kết nối, có thể là SSL hoặc TCP. Trong trường hợp SSL, backdoor crond khởi chạy tệp thực thi “/var/tmp/bs” và ủy quyền tất cả các thông tin liên lạc tiếp theo cho nó. Ngược lại, Reverse Shell được tạo ra bởi chính backdoor crond.
Công cụ đánh cắp Bash
Sau khi phát hiện ra rằng backdoor crond tạo ra một Reverse Shell, các nhà nghiên cứu kiểm tra xem những kẻ tấn công sử dụng Reverse Shell này như thế nào. Để làm điều đó, các nhà nghiên cứu đã cài đặt gói Free Download Manager bị nhiễm mã độc trong môi trường Sandbox để phân tích. Sau đó, Kaspersky xác định rằng những kẻ tấn công đã triển khai công cụ đánh cắp Bash vào Sandbox. Công cụ này thu thập dữ liệu như thông tin hệ thống, lịch sử duyệt web, mật khẩu đã lưu, tệp ví tiền điện tử và thậm chí cả thông tin xác thực cho các dịch vụ đám mây như Amazon Web Services hoặc Google Cloud.
Hình 2. Công cụ đánh cắp Bash
Sau khi thu thập thông tin từ máy bị nhiễm, công cụ đánh cắp này tải xuống tệp nhị phân của trình tải lên từ máy chủ C2, lưu nó vào “/var/tmp/atd”. Sau đó, nó sử dụng tệp nhị phân này để tải kết quả thực thi của công cụ vào cơ sở hạ tầng của tin tặc.
Kaspersky không quan sát thấy bất kỳ hoạt động nào khác được thực hiện thông qua Reverse Shell và do đó, toàn bộ chuỗi lây nhiễm có thể được mô tả bằng Hình 3.
.png)
Hình 3. Chuỗi lây nhiễm
Bí ẩn của vectơ lây nhiễm
Sau khi phân tích tất cả các thành phần trong chuỗi, các nhà nghiên cứu muốn tìm hiểu xem gói Debian bị nhiễm được phân phối đến nạn nhân như thế nào. Kaspersky đã kiểm tra trang web chính thức của Free Download Manager. Các gói có sẵn để tải xuống từ trang web này hóa ra được lưu trữ trên miền “files2[.]freedownloadmanager[.]org” và chúng không có backdoor.
Sau đó, các nhà nghiên cứu kiểm tra mã nguồn mở trên tên miền “fdmpkg[.]org”. Quá trình kiểm tra này đã tiết lộ hàng chục bài đăng trên các trang web như StackOverflow và Reddit, nơi người dùng đang thảo luận về các vấn đề do bản phân phối Free Download Manager bị nhiễm mã độc gây ra mà không nhận ra rằng họ thực sự đã trở thành nạn nhân của phần mềm độc hại. Những bài đăng này được thực hiện trong suốt ba năm, từ năm 2020 đến năm 2022.
Trong một bài đăng được tạo vào năm 2020, một người dùng Reddit đã hỏi liệu có ổn không khi cài đặt Free Download Manager mà không chạy tập lệnh postinst, tập lệnh mà người dùng không biết có chứa phần mềm độc hại.
Hình 4. Bài đăng đặt câu hỏi của người dùng trên Reddit khi cài đặt Free Download Manager mà không chạy tập lệnh postinst
Hơn nữa, tác giả bài đăng đã dán nội dung của tập lệnh và một người dùng Reddit khác đã chỉ ra trong phần bình luận rằng nó có thể độc hại. Tuy nhiên, những người dùng này không xác định được trang web phân phối gói bị nhiễm hoặc tìm hiểu xem tập lệnh này làm gì. Tất cả những bài đăng này trên mạng xã hội khiến các nhà nghiên cứu nghĩ rằng gói Debian độc hại có thể đã được phân phối qua một cuộc tấn công chuỗi cung ứng, thông qua trang web “freedownloadmanager[.]org”.
Phân tích các video hướng dẫn trên YouTube
Trong quá trình điều tra hướng dẫn cài đặt Free Download Manager trên YouTube dành cho máy tính Linux, các nhà nghiên cứu đã phát hiện ra các trường hợp người đăng tải video vô tình thể hiện quá trình lây nhiễm ban đầu thông qua việc nhấp vào nút tải xuống trên trang web chính thức dẫn đến tải xuống phiên bản độc hại của Free Download Manager. Ngược lại, trong một video khác, một phiên bản hợp pháp của phần mềm đã được tải xuống. Có thể các nhà phát triển phần mềm độc hại đã viết kịch bản chuyển hướng độc hại để xuất hiện với một mức độ xác suất nào đó hoặc dựa trên dấu vân tay kỹ thuật số của nạn nhân. Kết quả là một số người dùng gặp phải gói độc hại, trong khi những người khác nhận được phiên bản hợp pháp.
Nguồn gốc của backdoor
Sau khi xác định cách phân phối gói Free Download Manager bị nhiễm, Kaspersky đã kiểm tra xem liệu mã độc hại được phát hiện trong quá trình nghiên cứu có mã trùng lặp với các mẫu phần mềm độc hại khác hay không. Trong quá trình phân tích, các nhà nghiên cứu cho biết backdoor cron đại diện cho một phiên bản sửa đổi của backdoor có tên “Bew”. Các giải pháp bảo mật của Kaspersky đối với Linux đã phát hiện các biến thể của nó kể từ năm 2013.
Hình 5. Mã của phiên bản 2013 của Bew (trái, MD5: 96d8d47a579717223786498113fbb913) và backdoor crond (phải, MD5: 6ced2df96e1ef6b35f25ea0f208e5440)
Backdoor Bew đã được phân tích nhiều lần và một trong những mô tả đầu tiên của nó đã được xuất bản vào năm 2014. Ngoài ra, vào năm 2017, Tổ chức Nghiên cứu Hạt nhân châu Âu (CERN) đã đăng thông tin về chiến dịch BusyWinman liên quan đến việc sử dụng Bew. Theo CERN, việc lây nhiễm Bew được thực hiện thông qua việc tải xuống theo từng ổ đĩa.
Về phần công cụ Bash, phiên bản đầu tiên của nó đã được công ty an ninh mạng Yoroi mô tả vào năm 2019. Nó được sử dụng sau khi khai thác lỗ hổng trên máy chủ mail Exim.
Lý do các gói độc hại không được phát hiện sớm hơn
Phần mềm độc hại được quan sát trong chiến dịch này đã được biết đến từ năm 2013. Theo dữ liệu phép đo từ xa của Kaspersky, nạn nhân của chiến dịch nằm ở khắp nơi trên thế giới, bao gồm Brazil, Trung Quốc, Ả Rập Saudi và Nga. Với những thực tế này, có vẻ như gói Free Download Manager độc hại vẫn không bị phát hiện trong hơn ba năm. Kaspersky đánh giá điều này là do các yếu tố sau:
Georgy Kucherin, chuyên gia bảo mật tại Kaspersky cho biết: “Các biến thể của backdoor được phân tích đã được phát hiện bởi các giải pháp của Kaspersky dành cho Linux kể từ năm 2013. Tuy nhiên, có một quan niệm sai lầm phổ biến rằng Linux miễn nhiễm với phần mềm độc hại, khiến nhiều hệ thống trong số này không được bảo mật đầy đủ. Sự thiếu bảo vệ này khiến các hệ thống này trở thành mục tiêu khai thác của tội phạm mạng. Về cơ bản, trường hợp của Free Download Manager cho thấy thách thức trong việc phát hiện một cuộc tấn công mạng đang diễn ra trên hệ thống Linux. Do đó, điều cần thiết đối với các máy tính chạy Linux là phải triển khai các biện pháp bảo mật đáng tin cậy và hiệu quả”.
Hồng Đạt
08:00 | 13/10/2023
16:00 | 01/12/2023
10:00 | 28/08/2023
23:00 | 28/09/2023
10:00 | 26/10/2023
13:00 | 09/10/2023
15:00 | 13/10/2023
14:00 | 22/08/2023
14:00 | 23/02/2024
07:00 | 08/04/2024
09:00 | 27/10/2023
10:00 | 16/05/2021
14:00 | 19/02/2024
10:00 | 05/02/2024
Kiểm tra, đánh giá tình hình ứng dụng chữ ký số trong hoạt động của cơ quan nhà nước là công tác có ý nghĩa hết sức quan trọng, không thể thiếu, góp phần thực hiện tốt nhiệm vụ quản lý nhà nước về lĩnh vực chữ ký số chuyên dùng Chính phủ. Thông qua kết quả kiểm tra, đánh giá của Đoàn công tác Ban Cơ yếu Chính phủ, bài báo sẽ cung cấp đến độc giả thực trạng tình hình ứng dụng chữ ký số chuyên dùng Chính phủ tại một số địa phương, đồng thời đưa ra những tồn tại, khó khăn, vướng mắc trong công tác quản lý, triển khai sử dụng, từ đó có biện pháp khắc phục, hướng dẫn, điều chỉnh bảo đảm đúng quy định, chặt chẽ và hiệu quả.
15:00 | 14/04/2023
Sự tăng trưởng nhanh chóng của các thiết bị kết nối Internet (Internet of Things-IoT) đã và đang thay đổi cách thức sống, làm việc và cả cách tạo ra, chia sẻ, thu thập, sử dụng dữ liệu của người dùng. Hiện tại có trên 14 tỷ thiết bị IoT trên toàn thế giới, con số này ước tính sẽ còn tăng cao lên tới 27 tỷ thiết bị vào năm 2025. Dự kiến trong năm 2023, thế giới sẽ chứng kiến các thiết bị IoT được triển khai rộng rãi trên nhiều mặt với nhiều công nghệ và nhiều ứng dụng mới. Cùng với sự tăng trưởng đó, vấn đề bảo mật dữ liệu và cách thức doanh nghiệp cần thích nghi để đáp ứng những yêu cầu, quy định được đặt ra là rất cần thiết. Dưới đây là những xu hướng IoT chủ yếu có thể kể đến trong năm 2023.
13:00 | 02/08/2022
Trong hai ngày 26 và 27/7, Thanh tra Bộ Thông tin và Truyền thông đã ban hành các quyết định xử phạt vi phạm hành chính đối với 6 doanh nghiệp cung cấp dịch vụ chứng thực chữ ký số công cộng. Đáng chú ý, 4 doanh nghiệp cung cấp dịch vụ chữ ký số công cộng phải tạm dừng phát triển thuê bao mới để khắc phục các hành vi vi phạm pháp luật.
15:00 | 21/06/2022
Sáng ngày 16/6, Cục Thương mại điện tử và Kinh tế số (Bộ Công Thương) đã chính thức công bố Trục phát triển hợp đồng điện tử Việt Nam (www.CeCA.gov.vn). Đây là hệ thống được Trung tâm Tin học và Công nghệ số, Cục Thương mại điện tử và Kinh tế số, Bộ Công thương xây dựng, vận hành triển khai nhằm mục tiêu hỗ trợ 100% các tổ chức, doanh nghiệp, cá nhân ứng dụng hợp đồng điện tử trong việc kiểm tra, xử lý, tập trung thông tin hợp đồng điện tử của cá nhân, doanh nghiệp, tổ chức trong giao dịch và hoạt động thương mại tại Việt Nam.
08:00 | 11/01/2024 | Chính sách - Chiến lược
09:00 | 10/01/2024 | Giải pháp khác
09:00 | 05/01/2024|Chính sách - Chiến lược
09:00 | 05/01/2024|An ninh – Quốc Phòng
Ngày 21/3, Bộ Quốc phòng đã có văn bản trả lời kiến nghị của cử tri tỉnh Quảng Nam với nội dung: "Đề nghị chỉ đạo thống nhất về giá trị pháp lý của chữ ký số, hồ sơ điện tử (hiện nay, nhiều cơ quan quản lý nhà nước, tổ chức tín dụng chưa áp dụng thống nhất nội dung này và bắt buộc phải sử dụng chữ ký thông thường, hồ sơ giấy song song với chữ ký số, hồ sơ điện tử)".
15:00 | 25/03/2024
Thời gian gần đây, nhiều đối tượng xấu đã giả danh cơ quan công an gọi điện cho người dân yêu cầu ra công an phường để khắc phục sự cố đồng bộ VNeID mức 2. Đây là một hình thức lửa đảo mới nhằm chiếm đoạt toàn bộ tiền trong tài khoản ngân hàng của nạn nhân.
09:00 | 19/04/2024
