Mối đe dọa mạng nghiêm trọng: Botnet TuxBot v3 Evolution

Mối đe dọa mạng nghiêm trọng: Botnet TuxBot v3 Evolution

Một framework botnet IoT mới được xác định, có tên là TuxBot v3 Evolution, đang nhắm mục tiêu vào các thiết bị kết nối Internet và biến các hệ thống bị xâm phạm thành công cụ cho các cuộc tấn công từ chối dịch vụ phân tán (DDoS). Lỗ hổng này tiềm ẩn những mối đe dọa mạng nghiêm trọng đối với các thiết bị IoT hiện đại.

Tổng quan về TuxBot v3 Evolution

TuxBot v3 Evolution là một framework botnet mô-đun, có khả năng chạy trên nhiều kiến trúc thiết bị khác nhau. Điều này tạo ra một rủi ro rộng lớn cho các thiết bị như router, camera và các thiết bị Linux khác đang hoạt động mà không được bảo vệ đầy đủ.

Các phương thức xâm nhập

TuxBot sử dụng nhiều phương thức để giành quyền truy cập, bao gồm:

  • Đoán mật khẩu qua Telnet.
  • Quét SSH.
  • Thăm dò dựa trên HTTP.
  • Quét Android Debug Bridge (ADB).
  • Cố gắng khai thác các thiết bị có lỗ hổng.

Module Telnet của TuxBot chứa danh sách 1.496 cặp tên người dùng và mật khẩu. Nhiều trong số này là các thông tin đăng nhập mặc định hoặc dành riêng cho nhà sản xuất, vẫn còn phổ biến trên các thiết bị kém bảo mật.

Kiến trúc và Tính năng của Botnet

Các nhà phân tích đã xác định TuxBot v3 Evolution là một framework botnet mới, chưa từng được ghi nhận trước đây. Framework này bao gồm một kênh lệnh được mã hóa, một hệ thống khai thác tùy chỉnh và cơ sở hạ tầng nhằm hỗ trợ các hoạt động DDoS-for-hire (cung cấp dịch vụ DDoS theo yêu cầu).

Sử dụng Mã nguồn được tạo bởi AI

Điểm đáng chú ý của TuxBot là việc sử dụng một mô hình ngôn ngữ lớn (LLM) để xây dựng các bộ phận cốt lõi của framework. Mã nguồn thu hồi được bao gồm các bình luận về an toàn AI chưa được xóa và các đoạn mã thể hiện suy luận nội bộ, cho thấy mã được tạo ra đã được tích hợp với việc xem xét thủ công hạn chế.

Mặc dù việc sử dụng AI giúp tăng tốc độ phát triển và khả năng tương thích đa nền tảng, nó cũng tạo ra những lỗ hổng nghiêm trọng trong phiên bản đã thu hồi. Các nhà nghiên cứu đã phát hiện:

  • Sự không khớp khóa mã hóa làm hỏng nhiều chức năng.
  • Một máy ảo khai thác tùy chỉnh không thể tải các gói của chính nó.
  • Một thành phần xác thực được gắn nhãn Argon2id nhưng thực tế không triển khai hàm băm mật khẩu Argon2id.

Khả năng Tấn công và Tồn tại

Các chức năng cốt lõi của TuxBot vẫn hoạt động trong các mẫu phân tích, bao gồm tấn công thông tin xác thực, giao tiếp chính được mã hóa, duy trì sự tồn tại trên hệ thống, quét mạng và các loại tấn công flooding như UDP, TCP và DNS. Các nhà nghiên cứu cảnh báo rằng kẻ điều khiển có thể nhanh chóng khắc phục các lỗi trên do mã nguồn hoàn chỉnh đã có sẵn.

TuxBot kết nối với máy chủ chính thông qua giao tiếp TCP được mã hóa. Nếu máy chủ chính không khả dụng, nó có thể sử dụng các cơ chế tạo tên miền (DGA) và ngang hàng (P2P) làm phương án dự phòng.

Máy chủ của kẻ điều khiển có một bảng điều khiển có thể truy cập qua SSH, cho phép xem các bot đã kết nối và đưa ra lệnh tấn công, cho thấy một dịch vụ được thiết kế cho hoạt động DDoS có quản lý.

Nhà phát triển malware đã thử nghiệm hiệu suất tấn công trong một môi trường dựa trên Docker và tạo ra 254 báo cáo benchmark tự động trước khi các mẫu xuất hiện công khai. Mặc dù framework quảng cáo hàng tá tùy chọn tấn công, nhiều phương pháp tập trung vào web trong bản dựng phân tích đã bị định tuyến sai thành các cuộc tấn công TCP SYN flood đơn giản, khiến một số khả năng được quảng cáo không hoạt động.

Khả năng tồn tại trên hệ thống

Sau khi cài đặt, bot cố gắng duy trì sự hiện diện trên thiết bị thông qua nhiều kỹ thuật:

  • Dịch vụ hệ thống bị che giấu.
  • Các tác vụ cron.
  • Thay đổi tệp cấu hình shell profile.
  • Bản sao lưu được ẩn giấu.
  • Hoạt động giám sát (watchdog).
  • Di chuyển vị trí tệp nhị phân một cách lặp đi lặp lại.

Nó cũng có thể ngụy trang tên tiến trình và tìm kiếm các loại malware cạnh tranh, loại bỏ các botnet đối thủ khỏi cùng một thiết bị. Các nhà phát triển đã vay mượn mã và các yếu tố thiết kế từ nhiều họ botnet đã biết và bộ công cụ mã nguồn mở MHDDoS. Việc tái sử dụng này tuân theo một mô hình quen thuộc trong bối cảnh mối đe dọa IoT, nơi các botnet DDoS có nguồn gốc từ Mirai tiếp tục cung cấp cho kẻ tấn công một nền tảng nhanh chóng để xây dựng các công cụ tấn công mới.

Phát hiện và Khai thác

TuxBot v3 Evolution có khả năng chạy trên nhiều kiến trúc bộ xử lý, bao gồm ARM, MIPS, PowerPC, RISC-V, x86-64 và các nền tảng khác. Điều này cho phép kẻ điều khiển chuẩn bị malware cho nhiều loại thiết bị từ một môi trường phát triển duy nhất.

Các module tấn công

Framework này kết hợp một client bot viết bằng ngôn ngữ C với một máy chủ điều khiển và chỉ huy (C2) viết bằng Go, có khả năng xây dựng các payload cho ít nhất 17 kiến trúc bộ xử lý.

Mặc dù framework này có quảng cáo hàng chục tùy chọn tấn công, nhiều phương pháp tập trung vào web trong phiên bản được phân tích đã bị định tuyến sai thành các cuộc tấn công TCP SYN flood đơn giản, khiến một số khả năng được quảng cáo trở nên không hoạt động.

Phòng ngừa và Giảm thiểu Rủi ro

Các chuyên gia bảo mật khuyến nghị các biện pháp phòng ngừa và giảm thiểu rủi ro sau để đối phó với mối đe dọa từ TuxBot và các botnet IoT tương tự:

Bảo mật Thiết bị IoT

Các tổ chức nên:

  • Loại bỏ mật khẩu mặc định và thay thế bằng mật khẩu mạnh, duy nhất.
  • Hạn chế truy cập Telnet và quản trị từ xa, chỉ cho phép từ các nguồn đáng tin cậy.
  • Áp dụng các bản cập nhật firmware kịp thời cho tất cả các thiết bị IoT để vá các lỗ hổng đã biết.
  • Phân đoạn các thiết bị IoT ra khỏi các hệ thống quan trọng và mạng nội bộ chính.

Giám sát và Phát hiện

Việc giám sát các nỗ lực xác thực lặp đi lặp lại và lưu lượng truy cập ra nước ngoài bất thường có thể giúp phát hiện các thiết bị đang bị tuyển dụng vào botnet. Theo dõi các chỉ số này là rất quan trọng để có thể phát hiện tấn công sớm.

Nghiên cứu cũng liên kết cơ sở hạ tầng của TuxBot với các hoạt động rộng lớn hơn liên quan đến Keksec, Kaitori và AISURU thông qua các tạo tác lưu trữ và chứng chỉ được chia sẻ. Sự kết nối này cho thấy cách kẻ điều khiển có thể tái sử dụng cơ sở hạ tầng trong khi duy trì các cơ sở mã malware và chiến dịch riêng biệt.

TuxBot minh họa một sự thay đổi rộng lớn hơn trong các thực tiễn phát triển phần mềm độc hại. Hỗ trợ AI có thể tăng tốc độ viết mã và port mã sang các nền tảng khác, ngay cả khi đầu ra không đáng tin cậy. Điều này phản ánh những lo ngại đã được nêu ra trong các báo cáo trước đó về malware được hỗ trợ bởi LLM.

Chỉ số Khai thác (Indicators of Compromise – IoCs)

Lưu ý: Địa chỉ IP và tên miền được cung cấp trong các báo cáo ban đầu có thể đã được làm mờ (defanged) để tránh việc vô tình phân giải hoặc tạo siêu liên kết. Việc tái tạo định dạng ban đầu (re-fang) chỉ nên được thực hiện trong các nền tảng tình báo mối đe dọa được kiểm soát như MISP, VirusTotal hoặc hệ thống SIEM của bạn.

Các IoC liên quan đến TuxBot có thể bao gồm các địa chỉ IP, tên miền và các mẫu tệp nhị phân cụ thể. Để có danh sách đầy đủ và cập nhật nhất, người dùng nên tham khảo các nguồn tình báo mối đe dọa đáng tin cậy.

Tham khảo chi tiết về phân tích TuxBot tại Unit 42.