Phần mềm độc hại mới IPStorm sử dụng mạng ngang hàng P2P
Các nhà nghiên cứu của công ty an ninh mạng Anomali vừa phát hiện ra một phần mềm độc hại mới có tên IPStorm, hướng tấn công vào các máy tính Windows để tạo ra một mạng máy tính ma. Đặc biệt là nó ẩn các hoạt động thông qua mạng ngang hàng P2P.
Đây là phần mềm độc hại đầu tiên sử dụng mạng ngang hàng P2P của IPFS để thực hiện các hoạt động ra lệnh và điều khiển. Bằng cách sử dụng một mạng P2P hợp pháp, nó có thể ẩn lưu thông mạng của nó trong lưu thông mạng P2P hợp pháp. IPFS là một mạng chia sẻ tập tin P2P nguồn mở cho phép người dùng tải về và lưu trữ tập tin trên một hệ thống không tập trung.
Phần mềm độc hại mới IPStorm sử dụng mạng ngang hàng P2P
IPStorm có thể cho phép tin tặc chạy bất kỳ mã điều khiển PowerShell nào trên máy tính đã bị nhiễm. Được viết bằng ngôn ngữ lập trình Go, IPStorm vẫn chưa bị phát hiện cách thức lây nhiễm ban đầu, nhưng dung lượng của gói phần mềm độc hại cho thấy mã của nó được chia thành nhiều phần. Điều này chứng tỏ các tin tặc rất am tường về phát triển phần mềm bởi vì nó giúp phần mềm độc hại của họ đơn giản hơn để quản lý và nâng cấp.
Joakim Kennedy, nhà quản lý của Đội nghiên cứu Nguy cơ Anomali, giải thích, bằng cách chia chức năng thành các gói Go khác nhau, bộ mã cơ sở của IPStorm dễ quản lý hơn. Đồng thời, thành phần nguy cơ có thể chia thành các mô-đun để dễ dàng hơn trong chuyển đổi hay sử dụng lại tính năng.
IPStorm cũng được “trang bị” nhiều kỹ thuật tránh né phần mềm diệt virus, như ngủ và phân phối bộ nhớ để không bị phát hiện sau khi đã xâm nhập vào một hệ thống Windows và tự cài đặt vào một thư mục từ một danh sách đã định trước, với đa số các thư mục giả có liên quan tới Microsoft hay Adobe. Chính vì vậy, người dùng sẽ không để ý tới.
Tập tin chạy sẽ được lưu trữ trong thư mục này, và cũng lấy tin ngẫu nhiên từ một danh sách đã định trước. Điều này chứng tỏ các tin tặc đã có kế hoạch rất kỹ để đảm bảo IPStorm rất khó bị phát hiện trên các máy tính bị nhiễm.
Hiện tại, mục tiêu cuối cùng của IPStorm vẫn chưa rõ ràng, nhưng nó có thể được sử dụng cho mọi hoạt động tấn công nguy hiểm. Theo Joakim Kennedy, các mạng máy tính ma thường được sử dụng để tấn công từ chối dịch vụ phân tán DDoS, phục vụ mở cửa hậu trojan, hay xây dựng các mạng proxy. Máy tính ma sẽ cho phép thành phần nguy cơ thực thi bất kỳ mã PowerShell tùy ý nào.
Mặc dù IPStorm chỉ mới bị phát hiện là nhắm vào các hệ thống Windows, nhưng siêu dữ liệu trong các mẫu phần mềm độc hại cho thấy các tin tặc có thể đang trong quá trình phát triển để lây nhiễm sang các hệ điều hành khác. Công ty Anomali ước tính đến tháng 6, IPStorm mới tạo ra mạng máy tính ma chưa đến 3.000 máy tính và nó vẫn đang trong quá trình phát triển.
Tuy nhiên, chỉ 1/2 số động cơ của dịch vụ quét virus VirusTotal nhận dạng IPStorm là độc hại, có nghĩa là hiện tại IPStorm có thể phát tán tương đối thoải mái và mạng máy tính ma có thể tiếp tục mở rộng hơn nữa. Joakim Kennedy khuyên người dùng cẩn trọng trên mạng ngang hàng và các giải pháp phòng chống IPStorm đang được các công ty an ninh mạng ráo riết phát triển.
Huy Hoàng (theo: securitynow)
