Windows trojan mới giúp lây lan MIRAI Malware trên nhiều thiết bị IoT hơn

By | 9:42 am | 13/02/2017

MIRAI – là malware lây lan trên các thiết bị IoT lớn nhất vào cuối năm ngoái, nó đã gây ra tình trạng mất internet trên diện rộng vào tháng mười năm ngoái bằng cách tấn công DDoS nhằm đến các dịch vụ cung cấp DNS Dyn.

Window Trojan Mirai

Gần đây, malware Mirai đã có các bản biến thể mới giúp khả năng lây lan của chúng tăng cao. Các nhà nghiên cứu từ công ty an ninh mạng Nga Dr.Web đã phát hiện một Windows Trojan mới được thiết kế xây dựng với mục đích duy nhất, giúp hacker lây lan Mirai nhiều hơn trên các thiết bị IoT.

Mirai là một malware được viết dành cho các thiết bị Internet-of-Thing (IoT) dựa trên nền tảng Linux và các thiết bị này thường có độ an toàn bảo mật rất kém, nó sẽ là một phần của một mạng botnet, và sau đó sử dụng chúng để khởi động các cuộc tấn công DDoS, và lây lan qua Telnet bằng cách sử dụng các thông tin mặc định default của các thiết bị.

Mọi việc bắt đầu vào đầu tháng Mười năm ngoái, khi một hacker công khai phát hành mã nguồn của Mirai .

botnet mirai

Được mệnh danh là Trojan.Mirai.1, Trojan mới nhắm vào các máy tính Windows và quét mạng của người dùng đến các thiết bị hoạt động dựa trên nền tảng Linux có thể kết nối  được.

Sau khi cài đặt trên một máy tính Windows, Trojan kết nối đến một server command-and-control (C & C) để tải một file cấu hình có chứa một loạt các địa chỉ IP để cố gắng xâm nhập qua các port 22 (SSH) và 23 (Telnet ), 135, 445, 1433, 3306 và 3389.

Xác thực thành công cho phép phần mềm độc hại chạy lệnh nào đó được xác định trong tập tin cấu hình, tùy thuộc vào loại hệ thống bị xâm.

Trong trường hợp của các hệ thống Linux truy cập thông qua giao thức Telnet, Trojan tải về một tập tin nhị phân lên các thiết bị mới bị xâm nhập, mà sau đó tải về và thực thi chúng.

Một khi bị xâm nhập, các Trojan có thể lây lan đến các thiết bị Windows khác, giúp hacker chiếm quyền điều khiển các thiết bị nhiều hơn.

Bên cạnh đó, các nhà phân tích lưu ý rằng các phần mềm độc hại cũng có thể xác định các dịch vụ cơ sở dữ liệu chạy trên các cổng khác nhau, bao gồm cả MySQL và Microsoft SQL để tạo ra một admin mới “phpminds ” với mật khẩu mới “phpgodwith“, cho phép kẻ tấn công có thể ăn cắp cơ sở dữ liệu.

Tại thời điểm này vẫn chưa rõ ai là người tạo ra Trojan này, nhưng việc tồn tại Trojan này cho thấy các thiết bị IOT tuy không kết nối trực tiếp ra internet cũng có thể bị tấn công để gia nhập đội quân botnet Mirai.