นักวิจัยตรวจพบบอตเน็ต Gafgyt สายพันธุ์ใหม่ชื่อ C0XMO ที่มุ่งเป้าโจมตีอุปกรณ์ซึ่งใช้เฟิร์มแวร์ DD-WRT โดยสามารถแพร่กระจายไปยังอุปกรณ์หลากหลายประเภทได้
การวิเคราะห์พบว่า มัลแวร์รองรับหน่วยประมวลผลหลายสถาปัตยกรรม เช่น ARM, MIPS, PowerPC, SuperH, x86 และ x86_64 อีกทั้งยังมาพร้อมชุดเครื่องมือที่ใช้โจมตี DVR เราเตอร์ ระบบบริหารจัดการวิดีโอ และอุปกรณ์ Android
ทั้งนี้ มีการตรวจพบบอตเน็ตดังกล่าวมุ่งเป้าไปยังบริษัทเทคโนโลยีแห่งหนึ่งในญี่ปุ่น แต่การวิเคราะห์พบว่า IP ต้นทางที่ใช้ในการโจมตีเชื่อมโยงกับอุปกรณ์ที่ตั้งอยู่ในประเทศเยอรมนี
นักวิจัยด้านความปลอดภัยจาก Fortinet ได้ตรวจพบบอตเน็ตสายพันธุ์ใหม่ชื่อ C0XMO ซึ่งมีความโดดเด่นด้วยสถาปัตยกรรมแบบโมดูลาร์ (Modular Design) โครงสร้างเช่นนี้ช่วยให้ผู้พัฒนามัลแวร์สามารถปรับปรุงเทคนิคการใช้ประโยชน์จากช่องโหว่ เพิ่มการรองรับสถาปัตยกรรมใหม่ ๆ หรือขยายขีดความสามารถในการ Lateral Movement ได้อย่างยืดหยุ่น โดยไม่จำเป็นต้องเปลี่ยนแปลง Code หลักของเพย์โหลด
ในด้านการทำงาน C0XMO ถูกสร้างขึ้นมาเพื่อเน้นการโจมตีแบบ Distributed Denial-of-Service (DDoS) เป็นหลัก โดยมีรูปแบบการโจมตีที่หลากหลายถึง 19 วิธี ครอบคลุมตั้งแต่การโจมตีมาตรฐานอย่าง UDP, TCP, SYN และ ICMP Flood ไปจนถึงเทคนิคเฉพาะทาง เช่น Ping of Death, การใช้เซิร์ฟเวอร์ NTP และ Memcached เพื่อขยายปริมาณทราฟฟิก (Amplification) รวมถึงการมุ่งเป้าโจมตี Discord Voice UDP และเซิร์ฟเวอร์เกมของ Valve
สำหรับการแพร่กระจายเข้าสู่อุปกรณ์เป้าหมาย มัลแวร์ตัวนี้จะอาศัยการเจาะผ่านช่องโหว่ CVE-2021-27137 ซึ่งเป็นช่องโหว่ Buffer Overflow ที่เกิดจากการขาดการตรวจสอบข้อมูล input อย่างเหมาะสม ช่องโหว่ดังกล่าวทำให้ผู้โจมตีที่ไม่มีสิทธิ์เข้าถึงระบบสามารถรันโค้ดอันตรายจากระยะไกลได้โดยไม่ต้องผ่านการยืนยันตัวตนใด ๆ
การสแกนหาเป้าหมายของ Gafgyt
เพื่อขยายการแพร่กระจายของมัลแวร์ให้กว้างขึ้น C0XMO จะดาวน์โหลดสคริปต์ภาษา Python ที่ทำหน้าที่ติดตั้งแพ็กเกจเพิ่มเติม เช่น requests, paramiko และ beautifulsoup4 ซึ่งเป็นเครื่องมือที่จำเป็นสำหรับการสแกนเครือข่าย การสื่อสารกับระบบเป้าหมาย รวมถึงการดำเนินกิจกรรมผ่านโปรโตคอล SSH และ Telnet
จากนั้น โมดูลสแกนจะใช้เธรดจำนวนมากในการสุ่มค้นหาระบบที่เปิดให้เข้าถึงจากอินเทอร์เน็ต โดยมุ่งเป้าไปยังพอร์ตที่นิยมใช้งาน เช่น 22 (SSH), 23 (Telnet), 80 และ 443 (HTTP/HTTPS), 7547, 8080, 8443, 8888 รวมถึงพอร์ตอื่น ๆ ที่เกี่ยวข้อง
หลังจากควบคุมอุปกรณ์ได้สำเร็จ มัลแวร์จะเลือกติดตั้งเพย์โหลด C0XMO ที่ตรงกับสถาปัตยกรรมของอุปกรณ์เป้าหมาย เพื่อเพิ่มอุปกรณ์ดังกล่าวเข้าสู่เครือข่ายบอตเน็ต และรองรับการโจมตีในขั้นต่อไป
สคริปต์ดังกล่าวประกอบด้วยฟังก์ชันเกือบ 20 รายการสำหรับสแกนหาเป้าหมาย ใช้ประโยชน์จากช่องโหว่บน HTTP service และ ADB ตรวจสอบสถาปัตยกรรมซีพียู รวมถึงเข้าสู่ระบบผ่าน SSH และ Telnet โดยมีเป้าหมายหลักเพื่อขยายการแพร่กระจายไปยังอุปกรณ์อื่นภายในเครือข่าย
หลังจากเข้าควบคุมอุปกรณ์ได้สำเร็จ มัลแวร์จะคัดลอกตัวเองไปยังตำแหน่งที่ซ่อนอยู่ในระบบ เช่น /tmp/.sys, /var/tmp/.sys และ /dev/shm/.sys พร้อมสร้าง Cron Job เพื่อเรียกใช้งานซ้ำทุก 15 นาที นอกจากนี้ ยังมีการแก้ไขไฟล์เริ่มต้นของ shell เพื่อให้มัลแวร์ทำงานโดยอัตโนมัติทุกครั้งที่ระบบเริ่มต้น ช่วยให้สามารถแฝงตัวอยู่บนอุปกรณ์ที่ติดมัลแวร์ได้อย่างต่อเนื่อง
นอกจากนี้ C0XMO ยังตรวจสอบโปรเซสที่กำลังทำงานบนอุปกรณ์เป้าหมายเพื่อค้นหา และกำจัดบอตเน็ตคู่แข่ง เครื่องมือ Red Team ตลอดจนบริการ และซอฟต์แวร์ที่อาจรบกวนการทำงานของมัลแวร์
โดยมัลแวร์จะลบทั้งไฟล์ไบนารี และกลไก Persistence ที่เกี่ยวข้อง เช่น Cron Jobs, Init Scripts, System Services และรายการใน Shell Profile เพื่อป้องกันไม่ให้โปรแกรมเหล่านั้นกลับมาทำงานอีกครั้ง
หลังจากติดตั้งตัวเองบนอุปกรณ์สำเร็จ มัลแวร์จะเชื่อมต่อไปยังเซิร์ฟเวอร์ C2 ที่ฝังอยู่ในโค้ด โดยใช้กระบวนการยืนยันตัวตนแบบหลายขั้นตอนที่อาศัยชุดข้อความพิเศษ และคีย์ลับร่วมกัน ก่อนเข้าสู่สถานะรอรับคำสั่งจากผู้ควบคุม
คำสั่งที่รองรับครอบคลุมตั้งแต่การตรวจสอบสถานะของบอตเน็ต การเริ่ม หรือหยุดการสแกนหาเป้าหมาย ไปจนถึงการเปิดฉากโจมตีแบบ DDoS ผ่านหนึ่งใน 19 เทคนิคที่มัลแวร์รองรับ
สำหรับการป้องกัน C0XMO และมัลแวร์บอตเน็ตลักษณะเดียวกัน ผู้เชี่ยวชาญแนะนำให้อัปเดตซอฟต์แวร์ และเฟิร์มแวร์ของอุปกรณ์อย่างสม่ำเสมอ ใช้รหัสผ่านผู้พัฒนาระบบที่รัดกุม และไม่ซ้ำกัน รวมถึงปิดการเข้าถึงจากระยะไกล (Remote Access) เมื่อไม่มีความจำเป็น
นักวิจัยจาก Fortinet ระบุว่า C0XMO มีสถาปัตยกรรม และชุดความสามารถที่ซับซ้อนกว่าบอตเน็ต IoT รุ่นก่อน ๆ อย่างเห็นได้ชัด
นอกจากนี้ รูปแบบการออกแบบโดยรวมของมัลแวร์ยังสะท้อนให้เห็นถึงความซับซ้อน และความเป็นมืออาชีพในการปฏิบัติการที่สูงกว่ามัลแวร์ตระกูล Gafgyt ทั่วไป ซึ่งบ่งชี้ถึงพัฒนาการของภัยคุกคามที่มีความซับซ้อนมากขึ้นอย่างต่อเนื่อง
ที่มา : Bleepingcomputer
You must be logged in to post a comment.