Phần mềm độc hại DDoS đi với tải tự phá hủy

DDoSmalware comes with self-destruct payload

How to kill a zombie

By DanGoodin in San Francisco • Getmore f-rom this author

Posted in Malware,9th March 201121:29 GMT

Theo:http://www.theregister.co.uk/2011/03/09/ddos_bots_self_destruct/

Bài được đưa lênInternet ngày: 09/03/2011

Lờingười dịch: Tại Hàn Quốc tuần qua, nhiều website củaChính phủ đã bị tấn công, kể cả của tổng thốngHàn Quốc, Dịch vụ Tình báo Quốc gia, và Bộ Ngoạigiao. Điều đáng chú ý là chúng thực sự tinh vi phứctạp, sử dụng “cấu trúc chỉ huy kiểm soát nhiều giaiđoạn, mà nó lan truyền các lệnh độc hại vào trong 2lớp để làm khó khăn hơn đối với các tin tặc mũtrắng tiến hành kỹ thuật nghịch đảo hệ thống. Giaiđoạn đầu có ít nhiều hơn so với một danh sách cácmáy chủ được mã hóa cho một tập hợp thứ 2 các máytính chỉ huy kiểm soát, mà chúng tung ra các lệnh tấncông. Hơn nữa, lớp đầu các máy chủ là được phântán một cách vật lý tại hàng tá các quốc gia, cung cấpsự dự phòng trong trường hợp một số máy chủ bịđánh hạ. Một khi các bot bị lây nhiễm tới được giaiđoạn 2, thì chúng nhận được danh sách các site phảitấn công. Nhưng chúng cũng nhận được các lệnh để tựphá hủy bằng việc viết đè lên bản ghi khởi động chủ (master boot record) của đĩa cứng chính của chúng...Phần mềm độc hại bot này cũng ra lệnh cho máy tínhviết đè lên một loạt các tệp khác được lưu trữtrong đĩa cứng, bao gồm những tệp được sử dụng chocác tài liệu của Microsoft Office và các tệp được sửdụng bằng các ngôn ngữ lập trình như C, C++, và Java”.

Các cuộc tấn côngmà đã trút sự tàn phá lên hàng tá các website của chínhphủ Hàn Quốc trong tuần qua đã đưa vào sự ngạc nhiênbệnh hoạn khác: một tải độc hại gây ra cho các máytính bị lây nhiễm được tuyển mộ để triển khai cáccuộc tấn công có khả năng tự phá hủy.

DDoS, hoặc từ chốidịch vụ phân tán, là các cuộc tấn công mới đầu xảyra hôm thứ sáu đánh vào các website bao gồm của cả tổngthống Hàn Quốc, Dịch vụ Tình báo Quốc gia, và BộNgoại giao. Chúng đã từng là không được để ý ngoạitrừ một vài chi tiết bị phát giác bởi nhà nghiên cứucủa McAfee là Georg Wicherski. Cú đánh mạnh nhất: các máytính thây ma bị lây nhiễm đã sử dụng trong các cuộctấn công được lên chương trình để phá hủy các tệphệ thống nhạy cảm, một cú đánh mà có thể vô hiệuhóa các máy tính.

“Một thứ là rõràng”, Wicherski đã viết trên blog được xuất bản tuầnnày. “Đây là một mẩu phần mềm độc hại nghiêmtrọng. Nó sử dụng các kỹ thuật đàn hồi để tránhbị hạ và thậm chí có các khả năng phá hủy trong tảitrọng của nó”.

“Cáckỹ thuật đàn hồi” là một tham chiếu tới một cấutrúc chỉ huy kiểm soát nhiều giai đoạn, mà nó lan truyềncác lệnh độc hại vào trong 2 lớp để làm khó khăn hơnđối với các tin tặc mũ trắng tiến hành kỹ thuậtnghịch đảo hệ thống. Giai đoạn đầu có ít nhiều hơnso với một danh sách các máy chủ được mã hóa cho mộttập hợp thứ 2 các máy tính chỉ huy kiểm soát, mà chúngtung ra các lệnh tấn công.

Hơnnữa, lớp đầu các máy chủ là được phân tán mộtcách vật lý tại hàng tá các quốc gia, cung cấp sự dựphòng trong trường hợp một số máy chủ bị đánh hạ.

Mộtkhi các bot bị lây nhiễm tới được giai đoạn 2, thìchúng nhận được danh sách các site phải tấn công. Nhưngchúng cũng nhận được các lệnh để tự phá hủy bằngviệc viết đè lên bản ghi khởi động chủ (master bootrecord) của đĩa cứng chính của chúng.

“Nếu bạn muốn pháhủy tất cả các dữ liệu trên một máy tính và trả nóvề một cách tiềm tàng là không sử dụng được nữa,thì điều này là cách mà bạn có thể tiến hành”,Wicherski nói.

Phầnmềm độc hại bot này cũng ra lệnh cho máy tính viết đèlên một loạt các tệp khác được lưu trữ trong đĩacứng, bao gồm những tệp được sử dụng cho các tàiliệu của Microsoft Office và các tệp được sử dụngbằng các ngôn ngữ lập trình như C, C++, và Java.

Các bot chủ(Botmasters) có một vài sự mềm dẻo khi cơ chế tự pháhủy được kích hoạt, nhưng số lượng ngày được hạnchế tới 10. Việc thiết lập lại ngày cho các máy thâyma (zombie) tới thời gian trước khi nó bị lây nhiễm sẽkích hoạt trình tự ghi đè ngay lập tức.

Nhiều hơn từWicherski ởđây.

Attacksthat have wreakedhavoc on dozens of South Korean government websites over the pastweek have included another nasty surprise: a malicious payload thecauses the infected machines recruited to carry out the assaults tospontaneously self-destruct.

TheDDoS, or distributed denial-of-service, attacks were first spotted onFriday hitting websites including South Korea's president, NationalIntelligence Service, and Foreign Ministry. They were unremarkableexcept for a couple details ferreted out by McAfee securityresearcher Georg Wicherski. The most striking: The infected zombiesused in the attacks are programmed to destroy sensitive system files,a blow that can incapacitate the machines.

“Onething is clear,” Wicherski wrote in a blog post published earlierthis week. “This is a serious piece of malware. It uses resiliencetechniques to avoid a takedown and even has destructive capabilitiesin its payload.”

“Resiliencetechniques” is a reference to a multi-stage command-and-controlstructure, which spreads the malicious instructions into two layersto make it harder for whitehats to reverse engineer the system. Thefirst stage contains little more than an encrypted list of servers toa second set of C&C machines, which issue the attack commands.

What'smore, the first layer of servers are physically distributed in dozensof countries, providing backup in the event some of them are takendown.

Oncethe infected bots reach the second stage, they receive the list ofsites to attack. But they also receive commands to self-destruct byoverwriting the master boot record of their primary hard drive.

“Ifyou want to destroy all the data on a computer and potentially renderit unusable, this is how you would do it,” Wicherski said.

Thebot malware also instructs the machine to overwrite a variety ofother files stored on the hard drive, including those used forMicrosoft Office documents and files used by programming languagessuch as C, C++, and Java.

Botmastershave some flexibility about when the self-destruct mechanism istriggered, but the number of days is limited to 10. Resetting thezombie's date to to a time before it was infected will activate theoverwrite sequence immediately.

Moref-rom Wicherski is here..®

Dịch tài liệu: LêTrung Nghĩa

letrungnghia.foss@gmail.com