Botnet Masjesu lẩn tránh phát hiện, nhắm vào thiết bị IoT để thực hiện tấn công DDoS

Botnet Masjesu lẩn tránh phát hiện, nhắm vào thiết bị IoT để thực hiện tấn công DDoS

Các nhà nghiên cứu bảo mật tại Trellix đã đi sâu vào phân tích cơ chế hoạt động của Masjesu, một botnet được xây dựng chuyên biệt để thực hiện các cuộc tấn công từ chối dịch vụ phân tán (DDoS). Mối đe dọa này đã lây nhiễm thành công nhiều loại thiết bị IoT khác nhau và hoạt động khá tinh vi nhằm tránh bị phát hiện.

Botnet Masjesu

Theo báo cáo của Trellix, Masjesu đã hoạt động ít nhất từ năm 2023. Người vận hành botnet này chủ yếu quảng cáo dịch vụ trên Telegram, khẳng định khả năng tung ra các cuộc tấn công DDoS với độ lớn lên đến hàng trăm gigabyte. Các bài đăng của họ nhắm đến cả người dùng nói tiếng Trung và tiếng Anh, cho thấy dịch vụ này hướng tới khách hàng tại cả Trung Quốc và Mỹ.

Hiện tại, kênh Telegram của người vận hành có hơn 400 người đăng ký, nhưng cơ sở người dùng thực tế của botnet có thể lớn hơn nhiều. Một kênh ban đầu dùng để quảng bá botnet đã bị nền tảng này đóng cửa do vi phạm chính sách.

Việt Nam là điểm nóng về nhiễm malware

Một phân tích về nguồn gốc các cuộc tấn công cho thấy một thực tế đáng báo động: hầu hết các thiết bị bị dính bẫy bởi Masjesu nằm tại Việt Nam. Ngoài ra, botnet này cũng đã lây nhiễm numerous thiết bị tại Brazil, Ấn Độ, Iran, Kenya và Ukraine.

"Dữ liệu cho thấy mạnh mẽ một cuộc tấn công phân tán xuất phát từ nhiều ASN (Hệ thống tự trị) khác nhau. Điều này cho thấy sự tham gia của các mạng lưới đa dạng, thay vì botnet được lưu trữ độc quyền trên một nhà cung cấp máy chủ riêng ảo (VPS) đơn lẻ," Trellix nhận định.

Các mẫu mã độc Masjesu được phân tích gần đây cho thấy nó có khả năng nhắm mục tiêu đến nhiều kiến trúc phần cứng khác nhau, bao gồm i386, MIPS, ARM, SPARC, PPC, 68K (Motorola 68000) và AMD64.

Cơ chế lây lan và ẩn mình

Botnet lây lan thông qua việc khai thác các lỗ hổng bảo mật trong bộ định tuyến D-Link, bộ định tuyến GPON, cổng gia đình Huawei, DVR MVPower, bộ định tuyến Netgear, dịch vụ UPnP và các thiết bị IoT khác.

Bảo mật IoT

Trên thiết bị bị nhiễm, phần mềm độc hại liên kết một socket với một cổng TCP được mã hóa cứng để cung cấp cho người vận hành quyền truy cập từ xa và củng cố khả năng tồn tại bền bỉ. Malware lưu trữ các chuỗi ký tự nhạy cảm – bao gồm tên miền và cổng chỉ huy và kiểm soát (C&C), tên thư mục, tên quy trình – dưới dạng mã hóa trong một bảng tra cứu và giải mã chúng khi chạy.

Để đạt được sự bền bỉ, Masjesu bắt đầu bằng cách tạo ra một quy trình mới (fork) và đổi tên đường dẫn tệp thực thi gốc của nó để bắt chước đường dẫn và chức năng của một liên kết động (dynamic linker) hợp lệ của Linux. Sau đó, nó tạo một cron job để chạy tệp thực thi đã đổi tên cứ mỗi 15 phút một lần, chuyển đổi quy trình thành một daemon nền và đổi tên để xuất hiện như một thành phần hệ thống hợp pháp.

Loại bỏ đối thủ cạnh tranh

Điểm thú vị trong chiến thuật của Masjesu là khả năng loại bỏ các phần mềm độc hại khác. Nó chấm dứt các quy trình thường được sử dụng để tải xuống malware khác như wget và curl, đồng thời khóa các thư mục tạm dùng chung, có khả năng để ngăn chặn việc nhiễm các botnet khác. Để lây lan, nó quét các địa chỉ IP ngẫu nhiên trên internet để tìm các thiết bị dễ bị tấn công.

Masjesu sử dụng nhiều tên miền C&C và địa chỉ IP dự phòng, cấu hình thời gian chờ nhận 60 giây trên kết nối socket tới C&C và giải mã dữ liệu nhận được ở phía máy khách.

Dựa trên dữ liệu nhận được từ máy chủ, botnet có thể khởi động nhiều loại tấn công DDoS khác nhau, bao gồm các cuộc tấn công lũ lụt (flood) qua UDP, TCP, VSE, GRE, RDP, OSPF, ICMP, IGMP, TCP_SYN, TCP-ACK, TCP-ACKPSH và HTTP.