Bùng phát tấn công sử dụng mã độc “B1txor20” vào các hệ thống máy chủ Linux qua lổ hổng DNS, Log4J
Mới đây, một mã độc nguy hiểm đang nhắm vào các hệ thống Linux với mục tiêu biến chúng thành một mạng botnet và hoạt động như một đường dẫn để tải xuống và cài đặt rootkit.
Theo đó, Nhóm bảo mật Netlab của Qihoo 360 đã gọi nó là B1txor20 “dựa trên sự lây nhiễm, bằng cách sử dụng tên tệp ‘b1t’, thuật toán mã hóa XOR và độ dài khóa của thuật toán RC4 là 20 byte.
Mã độc này lây nhiễm thông qua lỗ hổng Log4j bắt đầu vào ngày 9 tháng 2 năm 2022, nó sử dụng một kỹ thuật gọi là đường hầm DNS (DNS Tunneling) để xây dựng các kênh giao tiếp với các máy chủ C2 (command-and-control) bằng cách mã hóa dữ liệu trong các truy vấn và phản hồi DNS.
Theo các chuyên gia về bảo mật: “Bot thực hiện gửi thông tin nhạy cảm bị đánh cắp, kết quả thực thi lệnh và bất kỳ thông tin nào khác cần được gửi. Chúng thực hiện các kỹ thuật mã hóa tới C2 dưới dạng một yêu cầu DNS (DNS Request) để ẩn đi các yêu cầu này”. “Sau khi nhận được yêu cầu, C2 gửi payload đến phía Bot như một phản hồi đối với yêu cầu DNS (DNS Response). Bằng cách này, Bot và C2 đạt được giao tiếp với sự trợ giúp của giao thức DNS.”
Giải pháp nào ngăn chặn hiệu quả các cuộc tấn công này?
Giải pháp DNS Security của EfficientIP với các bằng sáng chế đã được công nhận cho phép phân tích các giao dịch tại trung tâm của máy chủ DNS (queries, responses, fragments, recursions). Cung cấp khả năng phát hiện tấn công chưa từng có, ngay cả khi bị tấn công theo dạng volumetric attacks, stealth attack hoặc cố gắng xâm nhập những dữ liệu bí mật của khách hàng (DNS tunneling). Nó cung cấp các số liệu thống kê đặc biệt dạng out-of-the-box để có cái nhìn chi tiết và các báo cáo về lưu lượng DNS mà không cần thêm các công cụ bổ sung.
Giải pháp cung cấp khả năng bảo vệ thông minh và toàn diện để đảm bảo tính liên tục của các dịch vụ DNS và phát hiện các hành vi tấn công nâng cao dựa trên các cơ chế của DNS như: DNS Tunneling, DNS Exfiltration, DGA (Domain Generation Algorithm)
Nam Trường Sơn Hà Nội là đơn vị phân phối các sản phẩm của EfficientIP tại Việt Nam. Liên hệ với chúng tôi để nhận tư vấn và báo giá tốt nhất.
Xem thêm giải pháp EfficientIP: Tại đây
Liên hệ tư vấn:
Công ty cổ phần Nam Trường Sơn Hà Nội
Tầng 15, tòa nhà Licogi 13, 164 Khuất Duy Tiến, P. Nhân Chính, Q. Thanh Xuân, Hà Nội
Tel: 02462.818.045
Email: info.ntshn@nts.com.vn