Botnet khét tiếng vừa gây ra hàng loạt vụ DDOS trên 164 quốc gia cũng có lỗ hổng, hoàn toàn có thể hack ngược

Theo dõi VGT trên

Dù mang lại một phương pháp phòng thủ chủ động cho các nạn nhân của cuộc tấn công, nhưng việc thực hiện nó lại gặp các trở ngại về mặt pháp lý.

Mạng botnet Mirai đã trở nên khét tiếng khi nó được sử dụng trong vụ tấn công từ chối dịch vụ phân tán DDoS với quy mô lớn nhằm vào nhà cung cấp DNS nổi danh Dyn . Cuộc tấn công này đã gây ra sự cố mất truy cập Internet trên diện rộng vào ngày 21 tháng Mười vừa qua. Tuy nhiên, một nghiên cứu cho thấy bản thân botnet này cũng có lỗ hổng.

Đúng, chính phần mềm độc hại Mirai – malware đã thâm nhập và không chế hàng triệu thiết bị IoT trên 164 quốc gia, cũng chứa hàng loạt lỗ hổng có thể được sử dụng để chống lại nó và nhằm phá hủy khả năng DDoS của mạng botnet này hoặc làm giảm thiểu các cuộc tấn công trong tương lai.

Botnet khét tiếng vừa gây ra hàng loạt vụ DDOS trên 164 quốc gia cũng có lỗ hổng, hoàn toàn có thể hack ngược - Hình 1

Vào đầu tháng Mười này, nhà phát triển của malware này đã phát hành công khai mã nguồn của Mirai, vốn được thiết kế để quét và tìm kiếm các thiết bị IoT – phần lớn là các router, các camera và các ổ DVR vẫn đang sử dụng các mật khẩu mặc định. Sau khi tìm thấy các thiết bị này, malware này sẽ chiếm quyền điều khiển và biến chúng thành một bot trong mạng botnet của mình, để sử dụng cho việc phát động các cuộc tấn công DDoS.

Tuy nhiên, sau khi xem xét kỹ mã nguồn này, một nhà nghiên cứu đã khám phá ra ba lỗ hổng, một trong số chúng có thể được sử dụng để tắt khả năng làm tràn ngập mục tiêu với các truy vấn HTTP của Mirai.

Nhà nghiên cứu Scott Tenaglia tại hãng bảo mật Invincea đã phát hiện ra một lỗ hổng làm tràn bộ đệm ngăn xếp (stack buffer overflow) trong một đoạn code của Mirai. Lỗ hổng này được sử dụng để thực hiện các cuộc tấn công làm tràn mục tiêu bằng truy vấn HTTP.

Tuy nhiên, nếu bị khai thác, lỗ hổng này có thể làm sụp đổ quá trình tấn công, qua đó sẽ chấm dứt đợt tấn công từ bot đó (thiết bị IoT bị nhiễm Mirai), nhưng vẫn giúp cho thiết bị bị tấn công còn nguyên vẹn và tiếp tục hoạt động.

Tenaglia đã phát hành công khai phương pháp khai thác (exploit) lỗ hổng này, và cho biết, cách khai thác của anh sẽ không giúp ngăn chặn được một cuộc tấn công với quy mô lớn như cuộc tấn công đã nhằm vào Dyn gần đây, nhưng nó vẫn tắt được khả năng tấn công lớp 7 (layer 7) của Mirai (hình thức gửi các truy vấn ào ạt đến server nhằm gây tê liệt cho các dịch vụ webserver).

Video đang HOT

Exploit của anh tắt được cuộc tấn công này là vì Mirai có khả năng phát động các đợt lũ truy vấn HTTP cũng như hàng loạt hình thức tấn công DDoS mạng lưới khác, bao gồm các đợt lũ DNS, các đợt lũ UDP (giao thức gói dữ liệu người dùng), các đợt lũ SYN và ACK, các đợt lũ GRE IP và GRE ETH, STOMP (Simple Text Oriented Message Protocol: giao thức nhắn tin theo hướng văn bản).

“Cách khai thác “đơn giản” này là ví dụ về một cuộc phòng thủ chủ động trước một botnet IoT, nó có thể được sử dụng bởi bất kỳ dịch vụ giảm thiểu tấn công DDoS nào, để chống lại một cuộc tấn công bằng đợt lũ truy vấn HTTP dựa trên Mirai theo thời gian thực.” Tenaglia cho biết trong bài đăng trên blog của mình. “Cho dù nó không thể sử dụng để loại bỏ bot ra khỏi thiết bị IoT, nó cũng có thể được sử dụng để ngăn chặn khởi nguồn của cuộc tấn công từ thiết bị cụ thể đó.”

Botnet khét tiếng vừa gây ra hàng loạt vụ DDOS trên 164 quốc gia cũng có lỗ hổng, hoàn toàn có thể hack ngược - Hình 2

Những lo ngại về tính pháp lý của việc hack ngược

Tuy nhiên, việc khai thác lỗ hổng này để xâm nhập ngược lại vào hàng chục hay hàng trăm thiết bị IoT, dường như lại là một cách tiếp cận gây tranh cãi và không hợp pháp, cũng như có thể đặt bên phòng vệ vào vùng xám về pháp lý.

Xâm nhập ngược (hay hack back) liên quan đến việc tạo ra các thay đổi trên hệ thống thuộc hàng loạt quốc gia khác nhau mà không có sự cho phép từ người sở hữu thiết bị, một nhà cung cấp dịch vụ hay một nhà mạng nào. Ngoài ra Invincea đã bổ sung thêm một tuyên bố từ chối trách nhiệm (disclaimer) đối với nghiên cứu của mình, và cho biết họ không ủng hộ hành động “phản công” này.

Nhưng khi lỗ hổng này có khả năng làm cản trở mối đe dọa này, các hacker mũ trắng thận trọng có thể âm thầm sử dụng lỗ hổng này để chống lại malware và đưa các thiết bị bị nhiễm phần mềm độc hại này ra khỏi các hành vi tội phạm.

Trên thực tế, trong quá khứ cũng đã có một số trường hợp ngăn chặn mạng botnet theo lệnh của tòa án, và vì vậy, các nhà chức trách có thể nhận được lệnh của tòa án và xâm nhập ngược vào các thiết bị bị nhiễm Mirai để ngăn chặn mạng botnet khét tiếng này.

Tháng trước, cuộc tấn công DDoS có nguồn gốc từ botnet Mirai đã hạ gục nhà cung cấp dịch vụ Internet và hosting của Pháp OVH với băng thông rác lên đến 1 Tbps, lưu lượng lớn nhất cho một cuộc tấn công DDoS từ trước đến nay.

(Theo GenK)

Phát hiện mã độc tống tiền cả khi người dùng ngoại tuyến

Các chuyên gia Kaspersky Lab vừa phát hiện biến thể mới của ransomware RAA - phần mềm độc hại được viết toàn bộ bằng JScript - có thể mã hóa ngoại tuyến mà không cần key (chìa khóa) từ máy chủ

Phát hiện mã độc tống tiền cả khi người dùng ngoại tuyến - Hình 1

Mã độc tống tiền ngày càng tỏ rõ mức độ nguy hiểm với mọi người dùng máy tính. - Nguồn: Kaspersky Lab

Ransomware RAA xuất hiện vào tháng 6-2016 và là ransomware đầu tiên viết bằng JScript được biết đến. Vào tháng 8, chuyên gia tại Kaspersky Lab phát hiện phiên bản mới của ransomware này.

Người dùng không online cũng bị tống tiền

Giống như phiên bản trước được phát tán thông qua email nhưng giờ đây mã độc lại ẩn mật mã được bảo vệ trong tập tin nén Zip được đính kèm. Tội phạm mạng dùng cách này chủ yếu để lừa các giải pháp chống virus vì khó có thể kiểm tra phần được bảo vệ.

Quy trình lây nhiễm của ransomware RAA cũng giống với phiên bản trước. Nạn nhân sẽ mở tập tin .js và quá trình lây nhiễm bắt đầu. Để đánh lạc hướng nạn nhân, Trojan cho hiển thị tập tin dạng văn bản chứa một loạt các nhân vật ngẫu nhiên.

Trong khi nạn nhân còn đang cố gắng hiểu chuyện gì đang xảy ra thì ở ngoài màn hình, RAA đang thực hiện mã hóa tập tin trên máy. Cuối cùng, ransomware tạo ra ghi chú ngẫu nhiên trên desktop và toàn bộ những tập tin bị mã hóa sẽ có phần mở rộng mới bị khóa lại.

So với phiên bản trước, điểm khác biệt chính là RAA không cần liên lạc với máy chủ từ xa để mã hóa tập tin trên máy tính nạn nhân như trước đây mà nó sẽ tự tạo, mã hóa và lưu trữ "chìa khóa chủ" (key master) trên máy.

Tội phạm mạng nắm giữ khóa bí mật dùng để giải mã key master đã bị mã hóa. Ngay khi đã được trả tiền chuộc, tội phạm mạng yêu cầu người dùng gửi cho bọn chúng master key đã bị mã hóa, sau này sẽ được hoàn trả lại, cùng với phần mềm mã hóa. Cách này cho phép phần mềm độc hại mã hóa cả máy tính offline lẫn máy tính có kết nối Internet.

"Khuyến mãi" thêm Trojan

Ngoài ransomware RAA, nạn nhân còn phải nhận thêm Trojan Pony. Pony có khả năng đánh cắp mật khẩu từ tất cả email của khách hàng bao gồm doanh nghiệp và gửi chúng đến kẻ tấn công từ xa.

Có được mật khẩu nghĩa là những kẻ lừa đảo có thể phát tán phần mềm độc hại thay cho người dùng bị lây nhiễm, khiến việc thuyết phục nạn nhân rằng email này hợp pháp càng dễ dàng hơn. Từ email nạn nhân, phần mềm độc hại có thể lan ra toàn bộ danh sách liên lạc. Từ đó, những kẻ lừa đảo có thể chọn ra liên hệ mà chúng có hứng thú và thực hiện tấn công.

Fedor Sinitsyn, nhà phân tích phần mềm độc hạị tại Kaspersky Lab, cho biết: "Sự phối hợp giữa ransomware và phần mềm đánh cắp mật khẩu mang lại cho tội phạm mạng công cụ nguy hiểm, giúp tăng cơ hội kiếm tiền cho chúng.

Trước tiên là từ khoản tiền chuộc mà công ty sẽ trả để giải mã dữ liệu, sau đó là từ những nạn nhân tiềm năng có thể bị tấn công bằng cách sử dụng danh tín công tin mà Trojan Pony đã lấy được. Ngoài cách mã hóa offline, phiên bản mới của RAA đã tăng độ nguy hiểm của chúng lên".

Để giảm thiểu nguy cơ bị lây nhiễm, Kaspersky khuyến cáo người dùng nên sử dụng công nghệ bảo mật endpoint và giải pháp chống virus mạnh mẽ, chắn chắn mọi chức năng phát hiện đều được kích hoạt.

Các công ty, tổ chức cần phải có biện pháp tăng nhận thức về mạng cho nhân viên, liên tục cập nhật phần mềm trên máy tính, thường xuyên kiểm toán an ninh.

Người dùng phải chú ý đến phần mở rộng của tập tin trước khi mở chúng ra. Những tập tin ẩn chứa nguy hiểm bao gồm: .exe, .hta, .wsf, .js... Hãy là người dùng thông minh và cảnh giác với mọi email từ người gửi không rõ danh tính.

Theo Tuổi Trẻ

Bạn thấy bài viết này có hữu ích không?
Có;
Không

Tin liên quan

Tin đang nóng

Bức ảnh làm lộ chuyện 2 con Từ Hy Viên bị bỏ bê nghiêm trọng sau khi đột ngột mất mẹBức ảnh làm lộ chuyện 2 con Từ Hy Viên bị bỏ bê nghiêm trọng sau khi đột ngột mất mẹ
18:37:38 07/02/2025
Khung hình bị chế giễu nhiều nhất hôm nay: Uông Tiểu Phi quỳ lạy giữa trời mưaKhung hình bị chế giễu nhiều nhất hôm nay: Uông Tiểu Phi quỳ lạy giữa trời mưa
14:18:25 07/02/2025
Chấn động bài "phốt" 1 Anh Trai Vbiz gian lận thi cử, chính chủ đáp trả: "Đào sâu nữa mấy anti sẽ biết thêm..."Chấn động bài "phốt" 1 Anh Trai Vbiz gian lận thi cử, chính chủ đáp trả: "Đào sâu nữa mấy anti sẽ biết thêm..."
14:11:44 07/02/2025
Hai chị em uống nhầm thuốc diệt chuột: Bé trai đã tử vongHai chị em uống nhầm thuốc diệt chuột: Bé trai đã tử vong
14:44:47 07/02/2025
Mừng thọ bố xong, con trai đưa yêu cầu khiến cả nhà sững sờMừng thọ bố xong, con trai đưa yêu cầu khiến cả nhà sững sờ
17:12:44 07/02/2025
Người mẹ run rẩy, gào thét khi thấy con sốt cao, co giật vì cúm A: Lời cảnh báo sức khỏe trước tình hình dịch cúmNgười mẹ run rẩy, gào thét khi thấy con sốt cao, co giật vì cúm A: Lời cảnh báo sức khỏe trước tình hình dịch cúm
17:51:11 07/02/2025
Dậy sóng MXH: Hyun Bin lo sốt vó 1 chuyện khi Son Ye Jin mang thaiDậy sóng MXH: Hyun Bin lo sốt vó 1 chuyện khi Son Ye Jin mang thai
15:00:04 07/02/2025
Điều tra vụ nổ súng tại huyện Châu Thành, tỉnh Bến TreĐiều tra vụ nổ súng tại huyện Châu Thành, tỉnh Bến Tre
18:43:05 07/02/2025

Tin mới nhất

Nâng cao và biến đổi hình ảnh của bạn bằng trình chỉnh sửa video trực tuyến CapCut

Nâng cao và biến đổi hình ảnh của bạn bằng trình chỉnh sửa video trực tuyến CapCut

15:45:56 16/01/2024
Đã đến lúc bỏ lại các công cụ chỉnh sửa cũ và chấp nhận giải pháp thay đổi cuộc chơi. Gặp gỡ Trình chỉnh sửa video trực tuyến CapCut - giải pháp sẽ nâng cao, nâng cao và cách mạng hóa thế giới sáng tạo nội dung trực quan của bạn
Cách đăng Facebook để có nhiều lượt thích và chia sẻ

Cách đăng Facebook để có nhiều lượt thích và chia sẻ

22:01:27 21/12/2022
Chắc hẳn là ai trong chúng ta cũng luôn muốn các bài đăng trên Facebook có được nhiều lượt thích và chia sẻ. Tuy nhiên, làm thế nào để tối ưu bài đăng thì không phải ai cũng biết
Thêm nhiều bang của Mỹ cấm TikTok

Thêm nhiều bang của Mỹ cấm TikTok

21:03:46 21/12/2022
Louisiana và Tây Virginia là hai bang mới nhất cấm công chức sử dụng TikTok trên thiết bị công do lo ngại Trung Quốc có thể theo dõi người Mỹ và kiểm duyệt nội dung
Microsoft cấm khai thác tiền điện tử trên các dịch vụ đám mây để bảo vệ khách hàng

Microsoft cấm khai thác tiền điện tử trên các dịch vụ đám mây để bảo vệ khách hàng

20:03:41 21/12/2022
Microsoft đã cập nhật thỏa thuận cấm khai thác tiền điện tử trên các dịch vụ trực tuyến của mình. Việc khai thác tiền điện tử trên dịch vụ của Microsoft cần có sự cho phép bằng văn bản của công ty, nhưng cũng chỉ nhằm mục đích thử nghiệ...
Facebook trấn áp hàng loạt công ty phần mềm gián điệp

Facebook trấn áp hàng loạt công ty phần mềm gián điệp

20:01:24 21/12/2022
Meta (công ty mẹ của Facebook) cho biết họ đã ngăn chặn không dưới 200 hoạt động bí mật, trấn áp hàng loạt công ty phần mềm gián điệp kể từ năm 2017 tại khoảng 70 quốc gia
Meta đối mặt cáo buộc vi phạm các quy tắc chống độc quyền với mức phạt 11,8 tỷ đô

Meta đối mặt cáo buộc vi phạm các quy tắc chống độc quyền với mức phạt 11,8 tỷ đô

19:01:39 21/12/2022
Ủy ban Châu Âu - cơ quan điều hành của EU cho biết, đã phát hiện Meta vi phạm các quy tắc chống độc quyền của EU bằng cách bóp méo sự cạnh tranh trên thị trường quảng cáo trực tuyến. Meta có thể phải đối mặt với khoản tiền phạt lên tới ...
Không cần thăm dò, Musk nên sớm từ chức CEO Twitter

Không cần thăm dò, Musk nên sớm từ chức CEO Twitter

15:01:33 21/12/2022
Người dùng Twitter, các nhà đầu tư Tesla và chuyên gia phân tích trong ngành đều cho rằng Elon Musk nên sớm từ chức CEO Twitter
Đại lý Việt nhập iPhone 14 kiểu 'bia kèm lạc'

Đại lý Việt nhập iPhone 14 kiểu 'bia kèm lạc'

14:01:42 21/12/2022
Muốn nhập được các mẫu bán chạy như iPhone 14 Pro/Pro Max, các chuỗi đại lý bán lẻ ủy quyền của Apple bắt buộc phải nhập thêm hàng loạt phụ kiện đi kèm
Khai trương hệ thống vé điện tử và dịch vụ trải nghiệm thực tế ảo XR tại Quần thể Di tích Cố đô Huế

Khai trương hệ thống vé điện tử và dịch vụ trải nghiệm thực tế ảo XR tại Quần thể Di tích Cố đô Huế

09:38:18 21/12/2022
Sáng 20/12, tại Ngọ Môn, Đại Nội Huế, Trung tâm Bảo tồn Di tích Cố đô Huế đã tổ chức Lễ Khai trương Hệ thống vé điện tử và dịch vụ trải nghiệm thực tế ảo XR
'Dở khóc dở cười' với tính năng trợ giúp người bị tai nạn ôtô của Apple

'Dở khóc dở cười' với tính năng trợ giúp người bị tai nạn ôtô của Apple

09:37:54 21/12/2022
Tính năng phát hiện tai nạn ôtô mới ra mắt trên Apple iPhone và Apple Watch sẽ tự động tìm kiếm sự trợ giúp từ bộ phận cấp cứu khi có nguy cơ xảy ra tai nạn
Xiaomi sa thải hàng nghìn nhân sự

Xiaomi sa thải hàng nghìn nhân sự

09:35:12 21/12/2022
Gã khổng lồ smartphone Trung Quốc Xiaomi đang lên kế hoạch sa thải 15% trong số hơn 30.000 nhân sự trong bối cảnh công ty gặp khó khăn
Apple sẽ bắt đầu sản xuất MacBook tại Việt Nam vào giữa năm 2023

Apple sẽ bắt đầu sản xuất MacBook tại Việt Nam vào giữa năm 2023

09:34:00 21/12/2022
Đối với Trung Quốc, việc mất vị trí độc quyền sản xuất MacBook tượng trưng cho vị thế công xưởng thế giới của Trung Quốc đang bị suy yếu

Có thể bạn quan tâm

Thứ trưởng Bộ Công an: Tội phạm trên không gian mạng là vấn đề nan giải

Thứ trưởng Bộ Công an: Tội phạm trên không gian mạng là vấn đề nan giải

Tin nổi bật

20:00:38 07/02/2025
Theo Thứ trưởng Bộ Công an, tội phạm trên không gian mạng là vấn đề nan giải, mang tính chất toàn cầu, đặc điểm của loại tội phạm này là sử dụng công nghệ cao, thủ đoạn đa dạng...
Hành động "lạ" của cô gái trẻ giữa vườn hoa mận trắng xóa ở Lào Cai khiến dân mạng nóng mắt

Hành động "lạ" của cô gái trẻ giữa vườn hoa mận trắng xóa ở Lào Cai khiến dân mạng nóng mắt

Netizen

20:00:22 07/02/2025
Hình ảnh nữ du khách liên tục rung lắc cành mận cho hoa rơi lả tả để tạo dáng chụp ảnh đã vấp phải sự phàn nàn, lên án của dân mạng.
Gia tộc Trump và những dự án triệu đô ở Trung Đông

Gia tộc Trump và những dự án triệu đô ở Trung Đông

Thế giới

19:56:51 07/02/2025
Mọi người mà tôi đã nói chuyện đều thích ý tưởng Mỹ sở hữu mảnh đất đó, phát triển và tạo ra hàng nghìn việc làm với một thứ gì đó sẽ tuyệt vời , nhà lãnh đạo Mỹ cho biết thêm.
Bức ảnh "trượt tay" lúc nửa đêm đổi đời 1 sao nữ Vbiz mãi mãi

Bức ảnh "trượt tay" lúc nửa đêm đổi đời 1 sao nữ Vbiz mãi mãi

Sao việt

19:53:15 07/02/2025
Con gái Bảo Anh được công chúng yêu thích và dành tình cảm đặc biệt. Nữ ca sĩ cũng thừa nhận như được sinh ra lần nữa sau khi lên chức.
Tai nạn chết người ở đường sắt tại Đồng Nai, tàu hỏa tê liệt gần một giờ

Tai nạn chết người ở đường sắt tại Đồng Nai, tàu hỏa tê liệt gần một giờ

Pháp luật

19:52:08 07/02/2025
Tai nạn giao thông giữa xe container và xe máy tại điểm giao cắt đường sắt ở Đồng Nai khiến người phụ nữ tử vong tại chỗ, tàu hỏa qua khu vực bị gián đoạn gần một giờ.
Nam diễn viên mẫu mực số 1 showbiz bất ngờ dính tin ngoại tình với mỹ nhân kém 17 tuổi, đàng gái liên tục dính phốt người thứ 3

Nam diễn viên mẫu mực số 1 showbiz bất ngờ dính tin ngoại tình với mỹ nhân kém 17 tuổi, đàng gái liên tục dính phốt người thứ 3

Sao châu á

19:48:03 07/02/2025
Theo tờ QQ, những ngày qua, mối quan hệ của vua hài Thẩm Đằng và nữ diễn viên Lâm Duẫn nhận được sự quan tâm lớn từ công chúng xứ tỷ dân.
Nợ chồng chất nhưng vợ cứ lướt tiktok là đặt hàng online

Nợ chồng chất nhưng vợ cứ lướt tiktok là đặt hàng online

Góc tâm tình

17:59:48 07/02/2025
Hầu như ngày nào vợ tôi cũng có 1-2 đơn hàng gửi về nhà, hầu hết là quần áo, váy vóc, mỹ phẩm, có những cái tôi chưa thấy vợ dùng bao giờ.
Showbiz chẳng ai như mỹ nhân này: Lúc được khen đẹp như công chúa, lúc lại bị chê quê mùa kém sắc

Showbiz chẳng ai như mỹ nhân này: Lúc được khen đẹp như công chúa, lúc lại bị chê quê mùa kém sắc

Hậu trường phim

17:56:41 07/02/2025
Sina đưa tin biên kịch Vu Chính ký hợp đồng với diễn viên trẻ Triệu Tình và marketing cô là sự kết hợp giữa Triệu Lệ Dĩnh, Vương Sở Nhiên và Tống Tổ Nhi.