Một biến thể mới của phần mềm độc hại botnet Gafgyt, được đặt tên là mã độc C0XMO, đang lây lan âm thầm trên các thiết bị chạy Linux bằng cách nhắm mục tiêu vào một lỗ hổng CVE đã biết trong firmware router DD-WRT. Biến thể này đặc biệt nguy hiểm bởi thiết kế module và khả năng tấn công đa kiến trúc, mở rộng phạm vi lây nhiễm đáng kể so với các phiên bản Gafgyt trước đó.
Tổng quan về C0XMO: Biến thể Botnet Gafgyt Mới
Mã độc C0XMO là một biến thể tiên tiến của botnet Gafgyt, được thiết kế để khai thác các lỗ hổng đã biết trong firmware router DD-WRT và các thiết bị IoT khác. Các nhà phân tích từ FortiGuard Labs của Fortinet đã phát hiện và phân tích chi tiết về biến thể này.
C0XMO botnet được phát hiện lần đầu tiên vào tháng 3 và kể từ đó đã được quan sát thấy đang tích cực khai thác CVE-2021-27137, một lỗi tràn bộ đệm stack trong dịch vụ UPnP của một số firmware router DD-WRT.
Đặc điểm nổi bật của C0XMO
Điểm khác biệt chính của C0XMO botnet so với các phiên bản Gafgyt trước đó là thiết kế module và khả năng nhắm mục tiêu đồng thời vào nhiều kiến trúc bộ xử lý Linux. Điều này cho phép mã độc có phạm vi tiếp cận rộng hơn nhiều so với hầu hết các mối đe dọa nhắm vào IoT từng thấy.
Ngoài ra, nó còn bao gồm các script quét dựa trên Python. Các script này giúp mã độc C0XMO di chuyển ngang qua các mạng và tự động định vị các mục tiêu mới, tối ưu hóa quá trình lây lan và mở rộng botnet.
Chi tiết về Khai thác Lỗ hổng CVE-2021-27137 và Các Mục tiêu Khác
C0XMO botnet tận dụng các lỗ hổng CVE đã có sẵn các bản vá nhưng chưa được triển khai rộng rãi. Khả năng khai thác nhiều lỗ hổng giúp nó đa dạng hóa mục tiêu và tăng tỷ lệ thành công trong việc xâm nhập hệ thống.
Khai thác CVE-2021-27137 trên DD-WRT
Lỗ hổng CVE-2021-27137 là một lỗi tràn bộ đệm stack trong dịch vụ UPnP của firmware router DD-WRT bị ảnh hưởng. Kẻ tấn công có thể khai thác lỗ hổng này để giành quyền truy cập hoàn toàn mà không cần bất kỳ thông tin xác thực nào.
Lỗi được kích hoạt khi một giá trị ST:uuid quá lớn được gửi trong yêu cầu M-SEARCH được tạo thủ công qua cổng UDP 1900. Khi khai thác thành công, thiết bị bị xâm nhập sẽ bị tuyển dụng vào mạng botnet đang phát triển nhanh chóng.
Thông tin chi tiết về lỗ hổng CVE-2021-27137 có thể tham khảo tại NVD: NVD – CVE-2021-27137.
Mở rộng Tấn công trên Android và Thiết bị IoT Khác
Ngoài việc nhắm mục tiêu vào các router DD-WRT, mã độc C0XMO còn cố gắng khai thác các kết nối Android Debug Bridge (ADB) bị lộ để chiếm quyền kiểm soát thiết bị Android. Phương pháp tiếp cận đa nền tảng này cho thấy sự tinh vi ngày càng tăng của các tác nhân botnet IoT.
Biến thể này còn khai thác các lỗ hổng CVE nhắm vào các thiết bị D-Link (CVE-2015-2051), phần mềm dự án GLPI (CVE-2022-35914), và các camera Avtech DVR. Điều này mở rộng đáng kể bề mặt tấn công của C0XMO botnet. Các đội ngũ an ninh quản lý môi trường thiết bị hỗn hợp nên coi mối đe dọa này là đang hoạt động và tiếp diễn.
Cơ chế Hoạt động và Khả năng Lây lan của C0XMO
Một trong những khía cạnh kỹ thuật đáng chú ý nhất của mã độc C0XMO là cách nó tách quá trình di chuyển ngang thành một script Python độc lập. Thiết kế này mang lại sự linh hoạt cao và khả năng khó bị phát hiện hơn.
Thiết kế Đa kiến trúc và Kịch bản Python
Thiết kế module và đa kiến trúc của C0XMO botnet cho phép nó biên dịch và phân phối các payload cụ thể cho từng kiến trúc. Điều này giúp nó tiếp cận rộng hơn và hiệu quả hơn trên nhiều loại thiết bị.
Script Python chịu trách nhiệm quét và dò tìm mạng, xác định các host có thể truy cập và xác định kiến trúc của mục tiêu trước khi phân phối payload phù hợp. Mã độc này nhắm mục tiêu vào nhiều kiến trúc Linux, bao gồm ARM, MIPS và x86, bao trùm rộng rãi các router, cảm biến IoT và thiết bị nhúng.
Đối với mỗi loại kiến trúc, mã độc C0XMO sẽ tải xuống và thực thi binary đã được biên dịch chính xác, cho phép botnet phát triển trên các phần cứng khác nhau trong cùng một chiến dịch.
Thiết kế module, đa kiến trúc này trước đây phổ biến hơn trong số các tác nhân đe dọa nâng cao, và sự xuất hiện của nó trong một botnet IoT đánh dấu một sự leo thang rõ ràng về mức độ tinh vi.
Hành vi Sau khi Xâm nhập và Lây lan Ngang
Sau khi xâm nhập thành công, các nhà nghiên cứu Fortinet đã quan sát thấy C0XMO botnet kết nối với một máy chủ chỉ huy và kiểm soát (C2), chờ đợi các lệnh DDoS và mở rộng mạng lưới. Các module quét liên tục chạy trong nền, xác định các thiết bị mới và chuyển tiếp chi tiết cho kẻ điều hành.
Các nỗ lực xác thực brute-force chống lại các dịch vụ có thể truy cập cũng được ghi nhận là một phần của quy trình di chuyển ngang của mã độc C0XMO. Điều này giúp nó mở rộng phạm vi ảnh hưởng sang các thiết bị khác trong cùng một mạng.
Các Lỗ hổng đã được C0XMO Khai thác
Sự thành công của mã độc C0XMO phụ thuộc vào các lỗ hổng đã biết, chưa được vá lỗi và đã có sẵn các bản sửa lỗi trong một thời gian. Danh sách các lỗ hổng chính được C0XMO botnet khai thác bao gồm:
- CVE-2021-27137: Lỗi tràn bộ đệm stack trong dịch vụ UPnP của firmware DD-WRT.
- CVE-2015-2051: Lỗ hổng trong các thiết bị D-Link.
- CVE-2022-35914: Lỗ hổng trong phần mềm dự án GLPI.
- Nhiều lỗ hổng khác nhau trong camera Avtech DVR.
Sự tồn tại dai dẳng của các lỗ hổng này phản ánh tốc độ vá lỗi chậm chạp trong không gian IoT. Người dùng chạy các thiết bị bị ảnh hưởng nên ưu tiên cập nhật firmware ngay lập tức để bảo vệ hệ thống khỏi các cuộc tấn công như của mã độc C0XMO.
Biện pháp Phòng ngừa và Phát hiện
Để chống lại mối đe dọa từ C0XMO botnet và các biến thể tương tự, các tổ chức và người dùng cá nhân cần triển khai các biện pháp phòng ngừa và giám sát chủ động.
Cập nhật Bản vá và Cấu hình An toàn
Vô hiệu hóa dịch vụ UPnP trên các router DD-WRT khi không cần thiết sẽ loại bỏ điểm xâm nhập chính mà mã độc C0XMO dựa vào. UPnP thường không cần thiết cho hầu hết các mạng gia đình và văn phòng nhỏ.
Chặn truy cập bên ngoài vào cổng UDP 1900 bằng các quy tắc tường lửa cũng có thể giảm đáng kể khả năng tiếp xúc với lỗ hổng. Việc đảm bảo triển khai đầy đủ bản vá bảo mật cho tất cả các thiết bị là rất quan trọng.
Prioritize việc cập nhật firmware cho các thiết bị bị ảnh hưởng là biện pháp phòng vệ cơ bản nhưng hiệu quả nhất. Sự chậm trễ trong việc cập nhật bản vá bảo mật là nguyên nhân chính khiến các cuộc tấn công như của mã độc C0XMO trở nên thành công.
Để biết thêm chi tiết về phân tích của Fortinet về C0XMO botnet, bạn có thể tham khảo tại: Fortinet – Inside Cross-Platform Propagation of New Gafgyt Variant C0XMO.
Giám sát Mạng và Dấu hiệu Xâm nhập
Giám sát lưu lượng mạng là rất quan trọng để phát hiện sớm các dấu hiệu lây nhiễm. Các dấu hiệu có thể chỉ ra sự xâm nhập của mã độc C0XMO bao gồm:
- Các kết nối đi bất thường (unusual outbound connections).
- Sự gia tăng đột biến lưu lượng UDP không mong muốn trên cổng 1900.
- Các nỗ lực đăng nhập brute-force.
Các nhóm bảo mật nên tập trung sự chú ý vào các thiết bị IoT cũ và không được quản lý, vốn thường không được vá lỗi và trở thành mục tiêu lý tưởng cho các chiến dịch như thế này. Việc chủ động rà soát và cập nhật bản vá bảo mật cho các thiết bị này là tối quan trọng.
Chỉ số Nhận diện Nguy cơ (IOCs)
Để hỗ trợ các nhà quản trị hệ thống và đội ngũ bảo mật trong việc phát hiện và phản ứng, các chỉ số nhận diện nguy cơ (IoCs) thường được cung cấp. Tuy nhiên, trong báo cáo gốc, các địa chỉ IP và tên miền đã được cố ý làm mờ (ví dụ: sử dụng [.] thay vì .) để ngăn chặn việc giải quyết ngẫu nhiên hoặc tạo siêu liên kết.
Do đó, không có địa chỉ IP hay tên miền cụ thể nào được liệt kê trực tiếp trong nội dung này. Việc khôi phục (re-fang) các IoCs này chỉ nên thực hiện trong các nền tảng threat intelligence được kiểm soát như MISP, VirusTotal, hoặc SIEM của bạn để đảm bảo an toàn.
