Cách phát hiện và phân tích phần mềm độc hại và các cuộc tấn công Linux: Botnet, công cụ khai thác, v.v.
20/05/2024
Linux được xây dựng trên mã nguồn mở. Tuy nhiên, điều này tiềm ẩn nhiều rủi ro về bảo mật. Chỉ cần lấy một xu hướng mới nổi của những kẻ tấn công là tạo các kho lưu trữ giả chứa phần mềm độc hại được ngụy trang thành phần mềm thực. Ngoài ra còn có các vectơ đe dọa truyền thống, chẳng hạn như email lừa đảo khiến hệ thống Linux dễ bị tổn thương khi đối mặt với phần mềm độc hại. Dưới đây là ba loại tấn công phổ biến nhắm vào hệ thống Linux.
1. Botnet
Botnet là một loại phần mềm độc hại có khả năng giành toàn quyền kiểm soát các thiết bị bị xâm nhập. Sau đó, những kẻ tấn công có thể thao túng các điểm cuối này thông qua cơ sở hạ tầng chỉ huy và kiểm soát (C2), buộc chúng tham gia vào các hoạt động độc hại. Một số trường hợp sử dụng botnet phổ biến nhất bao gồm:
- Các cuộc tấn công từ chối dịch vụ phân tán (DDoS)
- Chiến dịch thư rác
- Chuyển tiếp lưu lượng
Trong nhiều trường hợp, một thiết bị bị nhiễm tiếp tục phát tán phần mềm độc hại trên các hệ thống khác được kết nối với cùng một mạng. Điều này cho phép các botnet đạt tới kích thước của hàng nghìn thiết bị bị nhiễm, cho phép kẻ tấn công thực hiện các hoạt động quy mô lớn.
Phân tích một cuộc tấn công Botnet Mirai
.png.aspx "1-(4).png")
Người dùng có thể tìm hiểu thêm về các mối đe dọa được xác định trong quá trình phân tích
Trong số các botnet ảnh hưởng đến các thiết bị dựa trên Linux, Mirai là một trong những mạng phổ biến nhất. Nó nhắm mục tiêu vào các thiết bị internet vạn vật (IoT), chẳng hạn như bộ định tuyến, được bảo vệ bằng mật khẩu mặc định, cho phép nó dễ dàng chiếm quyền điều khiển chúng. Ngày nay, có hàng tá biến thể Mirai, vì các tác giả ban đầu đằng sau nó đã xuất bản mã nguồn của nó trên GitHub, có sẵn miễn phí cho bất kỳ kẻ đe dọa nào.
Nhờ các công cụ như hộp cát ANY.RUN , chúng ta có thể nghiên cứu hành vi của các botnet như Mirai trong thời gian thực và có được những hiểu biết sâu sắc vô giá về hoạt động của nó chỉ trong vài giây.
.png.aspx "1-(1).png")
Tất cả những gì chúng ta cần làm là tải mẫu phần mềm độc hại lên dịch vụ (nhấp để xem phiên phân tích hộp cát) và quan sát hoạt động liên quan đến việc thực thi nó. 
.png.aspx "image3-(1).png")
Quy tắc Suricata được dịch vụ sử dụng để phát hiện sự hiện diện của Mirai
ANY.RUN đưa ra lưu lượng truy cập mạng liên quan đến mối đe dọa, nhanh chóng gắn nhãn nó là độc hại bằng cách sử dụng công cụ Suricata tích hợp sẵn, một công cụ phát hiện phần mềm độc hại dựa trên các quy tắc hiện có có thông tin đã biết về các mối đe dọa.
2. Phần mềm độc hại tiền điện tử (Cryptojacking)
Phần mềm độc hại tiền điện tử sử dụng sức mạnh xử lý của các điểm cuối bị nhiễm để khai thác tiền điện tử. Vì việc khai thác đòi hỏi phải giải quyết các thuật toán phức tạp nên các mối đe dọa như vậy được biết là làm giảm hiệu suất của thiết bị chủ, làm cạn kiệt tài nguyên tính toán của chúng.
Công cụ khai thác có thể được cài đặt trên máy Linux thông qua nhiều phương tiện khác nhau, bao gồm email lừa đảo, tải xuống phần mềm bị nhiễm độc và lỗ hổng trong phần mềm chưa được vá. Sau khi được cài đặt, phần mềm độc hại tiền điện tử có thể thực hiện hành động của nó một cách âm thầm.
Phân tích phần mềm độc hại tiền điện tử
Hãy xem phân tích này trong hộp cát , nơi bạn có thể theo dõi quá trình thực thi của công cụ khai thác trong máy ảo đám mây Ubuntu.
Biểu đồ CPU và RAM hiển thị mức sử dụng tối đa
Biểu đồ sử dụng CPU và RAM cho thấy hoạt động tăng đột biến ngay lập tức sau khi phần mềm độc hại khởi chạy. Đây là dấu hiệu rõ ràng cho thấy thợ đào đang hoạt động trên hệ thống, sử dụng mọi tài nguyên sẵn có.
Tab yêu cầu DNS hiển thị nhiều mục
Chúng tôi cũng có thể xem lưu lượng truy cập mạng của phần mềm độc hại tiền điện tử. Trong vòng 4 phút, nó cố gắng thực hiện hơn 270.000 yêu cầu.
Dịch vụ này cung cấp cái nhìn minh bạch về hoạt động độc hại
Quá trình độc hại liên quan đến thợ đào sẽ tiết lộ các hành động mà nó thực hiện dưới dạng chữ ký, bao gồm:
- - “Kiểm tra thông tin DMI”, có khả năng được thực hiện để phát hiện môi trường máy ảo.
- - “Kiểm tra các bộ điều khiển nhóm đang hoạt động (như thời gian CPU, bộ nhớ hệ thống, băng thông mạng)”.
- - “Thực thi các lệnh bằng trình thông dịch dòng lệnh”.
Tất cả các chiến thuật này đều nhằm mục đích củng cố sự hiện diện của phần mềm độc hại tiền điện tử trên thiết bị và điều chỉnh mức tiêu thụ tài nguyên để tránh làm lộ vỏ bọc của nó.
3. Tấn công DDoS
Như đã đề cập, các botnet thường xuyên tham gia vào các cuộc tấn công DDoS nhằm mục đích làm choáng ngợp một mạng hoặc máy chủ có lưu lượng truy cập lớn, khiến người dùng không thể truy cập được. Đây là một rủi ro an ninh mạng đặc biệt nghiêm trọng đối với các tổ chức. Cơ sở hạ tầng của họ có thể vừa trở thành mục tiêu của các cuộc tấn công như vậy vừa là phương tiện thực hiện chúng trong trường hợp bị nhiễm botnet. Để bảo vệ khỏi các cuộc tấn công DDoS, điều quan trọng là phải có chiến lược bảo mật mạng mạnh mẽ.
Hiểu và phân tích các cuộc tấn công DDoS trên hệ thống Linux
Hộp cát có thể giúp bạn xem tất cả các bước của một cuộc tấn công DDoS. Phiên này mô tả một hệ thống Linux đã bị xâm phạm và đã tham gia vào mạng botnet trong một cuộc tấn công DDoS.
Tab Kết nối hiển thị chi tiết cuộc tấn công DDoS
Dịch vụ liệt kê hàng nghìn kết nối do thiết bị thực hiện trong vòng vài giây. Phân tích như vậy có thể cho phép bạn hiểu các cuộc tấn công DDoS và cải thiện tính bảo mật của tổ chức của bạn.
Phân tích phần mềm độc hại Linux và Windows một cách dễ dàng
Nhờ ANY.RUN, hộp cát để phân tích phần mềm độc hại, bạn có thể nhận được phán quyết cuối cùng về bất kỳ tệp hoặc liên kết độc hại nào trong vòng chưa đầy 40 giây mà không gặp bất kỳ rắc rối nào. Nếu bạn muốn phân tích chuyên sâu, dịch vụ này cung cấp các máy ảo Windows và Linux có thể tùy chỉnh để điều tra toàn diện:
- - Tương tác với VM giống như trên máy tính thực
- - Xem các hoạt động, quy trình và mạng đăng ký cũng như các chi tiết tấn công khác
- - Tải xuống báo cáo với IOC
- Nguồn https://computingforgeeks.com