Chủ Nhật, 13 tháng 3, 2011

Phần mềm độc hại DDoS đi với tải tự phá hủy

DDoS malware comes with self-destruct payload

How to kill a zombie

By Dan Goodin in San FranciscoGet more from this author

Posted in Malware, 9th March 2011 21:29 GMT

Theo: http://www.theregister.co.uk/2011/03/09/ddos_bots_self_destruct/

Bài được đưa lên Internet ngày: 09/03/2011

Lời người dịch: Tại Hàn Quốc tuần qua, nhiều website của Chính phủ đã bị tấn công, kể cả của tổng thống Hàn Quốc, Dịch vụ Tình báo Quốc gia, và Bộ Ngoại giao. Điều đáng chú ý là chúng thực sự tinh vi phức tạp, sử dụng “cấu trúc chỉ huy kiểm soát nhiều giai đoạn, mà nó lan truyền các lệnh độc hại vào trong 2 lớp để làm khó khăn hơn đối với các tin tặc mũ trắng tiến hành kỹ thuật nghịch đảo hệ thống. Giai đoạn đầu có ít nhiều hơn so với một danh sách các máy chủ được mã hóa cho một tập hợp thứ 2 các máy tính chỉ huy kiểm soát, mà chúng tung ra các lệnh tấn công. Hơn nữa, lớp đầu các máy chủ là được phân tán một cách vật lý tại hàng tá các quốc gia, cung cấp sự dự phòng trong trường hợp một số máy chủ bị đánh hạ. Một khi các bot bị lây nhiễm tới được giai đoạn 2, thì chúng nhận được danh sách các site phải tấn công. Nhưng chúng cũng nhận được các lệnh để tự phá hủy bằng việc viết đè lên bản ghi khởi động chủ (master boot record) của đĩa cứng chính của chúng... Phần mềm độc hại bot này cũng ra lệnh cho máy tính viết đè lên một loạt các tệp khác được lưu trữ trong đĩa cứng, bao gồm những tệp được sử dụng cho các tài liệu của Microsoft Office và các tệp được sử dụng bằng các ngôn ngữ lập trình như C, C++, và Java”.

Các cuộc tấn công mà đã trút sự tàn phá lên hàng tá các website của chính phủ Hàn Quốc trong tuần qua đã đưa vào sự ngạc nhiên bệnh hoạn khác: một tải độc hại gây ra cho các máy tính bị lây nhiễm được tuyển mộ để triển khai các cuộc tấn công có khả năng tự phá hủy.

DDoS, hoặc từ chối dịch vụ phân tán, là các cuộc tấn công mới đầu xảy ra hôm thứ sáu đánh vào các website bao gồm của cả tổng thống Hàn Quốc, Dịch vụ Tình báo Quốc gia, và Bộ Ngoại giao. Chúng đã từng là không được để ý ngoại trừ một vài chi tiết bị phát giác bởi nhà nghiên cứu của McAfee là Georg Wicherski. Cú đánh mạnh nhất: các máy tính thây ma bị lây nhiễm đã sử dụng trong các cuộc tấn công được lên chương trình để phá hủy các tệp hệ thống nhạy cảm, một cú đánh mà có thể vô hiệu hóa các máy tính.

“Một thứ là rõ ràng”, Wicherski đã viết trên blog được xuất bản tuần này. “Đây là một mẩu phần mềm độc hại nghiêm trọng. Nó sử dụng các kỹ thuật đàn hồi để tránh bị hạ và thậm chí có các khả năng phá hủy trong tải trọng của nó”.

“Các kỹ thuật đàn hồi” là một tham chiếu tới một cấu trúc chỉ huy kiểm soát nhiều giai đoạn, mà nó lan truyền các lệnh độc hại vào trong 2 lớp để làm khó khăn hơn đối với các tin tặc mũ trắng tiến hành kỹ thuật nghịch đảo hệ thống. Giai đoạn đầu có ít nhiều hơn so với một danh sách các máy chủ được mã hóa cho một tập hợp thứ 2 các máy tính chỉ huy kiểm soát, mà chúng tung ra các lệnh tấn công.

Hơn nữa, lớp đầu các máy chủ là được phân tán một cách vật lý tại hàng tá các quốc gia, cung cấp sự dự phòng trong trường hợp một số máy chủ bị đánh hạ.

Một khi các bot bị lây nhiễm tới được giai đoạn 2, thì chúng nhận được danh sách các site phải tấn công. Nhưng chúng cũng nhận được các lệnh để tự phá hủy bằng việc viết đè lên bản ghi khởi động chủ (master boot record) của đĩa cứng chính của chúng.

“Nếu bạn muốn phá hủy tất cả các dữ liệu trên một máy tính và trả nó về một cách tiềm tàng là không sử dụng được nữa, thì điều này là cách mà bạn có thể tiến hành”, Wicherski nói.

Phần mềm độc hại bot này cũng ra lệnh cho máy tính viết đè lên một loạt các tệp khác được lưu trữ trong đĩa cứng, bao gồm những tệp được sử dụng cho các tài liệu của Microsoft Office và các tệp được sử dụng bằng các ngôn ngữ lập trình như C, C++, và Java.

Các bot chủ (Botmasters) có một vài sự mềm dẻo khi cơ chế tự phá hủy được kích hoạt, nhưng số lượng ngày được hạn chế tới 10. Việc thiết lập lại ngày cho các máy thây ma (zombie) tới thời gian trước khi nó bị lây nhiễm sẽ kích hoạt trình tự ghi đè ngay lập tức.

Nhiều hơn từ Wicherski ở đây.

Attacks that have wreaked havoc on dozens of South Korean government websites over the past week have included another nasty surprise: a malicious payload the causes the infected machines recruited to carry out the assaults to spontaneously self-destruct.

The DDoS, or distributed denial-of-service, attacks were first spotted on Friday hitting websites including South Korea's president, National Intelligence Service, and Foreign Ministry. They were unremarkable except for a couple details ferreted out by McAfee security researcher Georg Wicherski. The most striking: The infected zombies used in the attacks are programmed to destroy sensitive system files, a blow that can incapacitate the machines.

“One thing is clear,” Wicherski wrote in a blog post published earlier this week. “This is a serious piece of malware. It uses resilience techniques to avoid a takedown and even has destructive capabilities in its payload.”

“Resilience techniques” is a reference to a multi-stage command-and-control structure, which spreads the malicious instructions into two layers to make it harder for whitehats to reverse engineer the system. The first stage contains little more than an encrypted list of servers to a second set of C&C machines, which issue the attack commands.

What's more, the first layer of servers are physically distributed in dozens of countries, providing backup in the event some of them are taken down.

Once the infected bots reach the second stage, they receive the list of sites to attack. But they also receive commands to self-destruct by overwriting the master boot record of their primary hard drive.

“If you want to destroy all the data on a computer and potentially render it unusable, this is how you would do it,” Wicherski said.

The bot malware also instructs the machine to overwrite a variety of other files stored on the hard drive, including those used for Microsoft Office documents and files used by programming languages such as C, C++, and Java.

Botmasters have some flexibility about when the self-destruct mechanism is triggered, but the number of days is limited to 10. Resetting the zombie's date to to a time before it was infected will activate the overwrite sequence immediately.

More from Wicherski is here.. ®

Dịch tài liệu: Lê Trung Nghĩa

letrungnghia.foss@gmail.com

Không có nhận xét nào:

Đăng nhận xét

Lưu ý: Chỉ thành viên của blog này mới được đăng nhận xét.