KISA xác nhận thêm 8 biến thể mã độc trong lúc kiểm tra vụ tấn công SKT

xguru · 2025-05-04T09:16:01+09:00

Trong quá trình ứng phó sự cố xâm nhập SKT, ngoài 4 mẫu mã độc hiện có thuộc họ BPFDoor nhắm vào hệ thống Linux, còn phát hiện thêm 8 biến thể mã độc Đây là backdoor dùng cho xâm nhập dai dẳng, khó để lại dấu vết nên có khả năng đã xảy ra rò rỉ thêm nhiều thông tin Ngoài smartadm đã được công bố ở đợt đầu, còn bổ sung dbus-srv, inode262394, rad v.v., với các chức năng như ngụy trang tiến trình hệ thống, rootkit, cài đặt backdoor Thông tin liên quan đến mã độc (do là biến thể nên không thể xác nhận bằng giá trị hash, đây là thông tin chức năng suy đoán được tìm theo tên) ○ dbus-srv Được thực thi bằng cách giả mạo tiến trình hệ thống dbus-daemon Có chức năng thu thập thông tin hệ thống và thực thi lệnh từ xa Né tránh phát hiện thông qua mã hóa và làm rối mã Bị nghi là backdoor, có khả năng giao tiếp với máy chủ C2 (Command-and-Control) bên ngoài ○ inode262394 Ẩn mình bằng cách giả mạo cấu trúc inode của hệ thống tệp Thực hiện che giấu sự tồn tại của chính nó và hook system call thông qua chức năng rootkit Tìm cách leo thang đặc quyền hệ thống và duy trì quyền truy cập liên tục Giải thích thêm về BPFDoor BPFDoor là mã độc backdoor Linux ẩn mình dài hạn, một công cụ tấn công có mức độ ẩn nấp cao giúp giám sát lưu lượng mạng mà không cần mở cổng, thông qua giám sát mạng thụ động sử dụng Berkeley Packet Filter (BPF) Do đặc tính của BPF, nó có thể vượt tường lửa và lén nghe trộm lưu lượng mạng Để ngụy trang thành tiến trình hệ thống, nó được chạy từ các đường dẫn như /usr/libexec/postfix/master, khiến trong danh sách tiến trình trông như một dịch vụ thông thường Phần lớn hoạt động trên bộ nhớ, không để lại dấu vết trên đĩa nên cũng thuận lợi cho né tránh phân tích pháp chứng số Biến thể mạnh xuất hiện năm 2023 có các đặc điểm chính sau Phương thức mã hóa: RC4 trước đây → mã hóa dựa trên thư viện tĩnh libtomcrypt Phương thức giao tiếp: Bind Shell trước đây → Reverse Shell, với tiến trình con thiết lập kết nối ngược Xử lý lệnh: trước đây là lệnh hardcode → mọi lệnh đều được nhận theo thời gian thực Tên tệp: trước đây cố định → nay được tạo động Ngay cả sau khi bị phát hiện, nó vẫn tách riêng tiến trình cha và tiến trình con để né tránh phản ứng phát hiện Mã nguồn đã được công khai trên GitHub

(boho.or.kr)

3 điểm bởi xguru 2025-05-04 | 1 bình luận | Chia sẻ qua WhatsApp

Trong quá trình ứng phó sự cố xâm nhập SKT, ngoài 4 mẫu mã độc hiện có thuộc họ BPFDoor nhắm vào hệ thống Linux, còn phát hiện thêm 8 biến thể mã độc
- Đây là backdoor dùng cho xâm nhập dai dẳng, khó để lại dấu vết nên có khả năng đã xảy ra rò rỉ thêm nhiều thông tin
Ngoài smartadm đã được công bố ở đợt đầu, còn bổ sung dbus-srv, inode262394, rad v.v., với các chức năng như ngụy trang tiến trình hệ thống, rootkit, cài đặt backdoor

Thông tin liên quan đến mã độc (do là biến thể nên không thể xác nhận bằng giá trị hash, đây là thông tin chức năng suy đoán được tìm theo tên)

○ dbus-srv

Được thực thi bằng cách giả mạo tiến trình hệ thống dbus-daemon
Có chức năng thu thập thông tin hệ thống và thực thi lệnh từ xa
Né tránh phát hiện thông qua mã hóa và làm rối mã
Bị nghi là backdoor, có khả năng giao tiếp với máy chủ C2 (Command-and-Control) bên ngoài

○ inode262394

Ẩn mình bằng cách giả mạo cấu trúc inode của hệ thống tệp
Thực hiện che giấu sự tồn tại của chính nó và hook system call thông qua chức năng rootkit
Tìm cách leo thang đặc quyền hệ thống và duy trì quyền truy cập liên tục

Giải thích thêm về BPFDoor

BPFDoor là mã độc backdoor Linux ẩn mình dài hạn, một công cụ tấn công có mức độ ẩn nấp cao giúp giám sát lưu lượng mạng mà không cần mở cổng, thông qua giám sát mạng thụ động sử dụng Berkeley Packet Filter (BPF)
- Do đặc tính của BPF, nó có thể vượt tường lửa và lén nghe trộm lưu lượng mạng
Để ngụy trang thành tiến trình hệ thống, nó được chạy từ các đường dẫn như /usr/libexec/postfix/master, khiến trong danh sách tiến trình trông như một dịch vụ thông thường
Phần lớn hoạt động trên bộ nhớ, không để lại dấu vết trên đĩa nên cũng thuận lợi cho né tránh phân tích pháp chứng số
Biến thể mạnh xuất hiện năm 2023 có các đặc điểm chính sau
- Phương thức mã hóa: RC4 trước đây → mã hóa dựa trên thư viện tĩnh libtomcrypt
- Phương thức giao tiếp: Bind Shell trước đây → Reverse Shell, với tiến trình con thiết lập kết nối ngược
- Xử lý lệnh: trước đây là lệnh hardcode → mọi lệnh đều được nhận theo thời gian thực
- Tên tệp: trước đây cố định → nay được tạo động
- Ngay cả sau khi bị phát hiện, nó vẫn tách riêng tiến trình cha và tiến trình con để né tránh phản ứng phát hiện
Mã nguồn đã được công khai trên GitHub

1 bình luận

brainer 2025-05-04

Đúng là khả năng bị lộ sạch hết rồi..