Các mối đe dọa an ninh mạng tận dụng các dịch vụ trên Cloud để lưu trữ, phân phối và thiết lập máy chủ C2 (command and control (C2)) như RAT VCRUMS được lưu trên AWS hoặc SYK Crypter được phân phối qua DriveHQ. Sự thay đổi về chiến lược này đặt ra thách thức cho việc phát hiện và ngăn chặn, vì các dịch vụ cloud cũng cấp khả năng mở rộng, ẩn danh, và khả năng phục hồi mà các giải pháp lưu trữ truyền thống bị thiếu.

Trong vài tháng qua, nhóm nghiên cứu của Fortinet FortiGuard Labs đã theo dõi hành vi các botnet sử dụng các dịch vụ đám mây để nâng cao khả năng lây lan, khó phát hiện và ngăn chặn bởi các giải pháp truyền thống. Các botnet chẳng hạn như UNSTABLE và Condi, tận dụng khả năng lưu trữ và điện toán trên Cloud cho mục đích phân phối payload và các bản cập nhật của phần mềm độc hại cho nhiều loại thiết bị. Sử dụng dịch vụ máy chủ trên Cloud cho các hoạt động của C2 đảm bảo tương tác liên tục giữa C2 và các thiết bị đã nhiễm botnet, dẫn tới nhiều khó khăn trong việc ngăn chặn các cuộc tấn công.

Xuất hiện mối đe dọa tới từ việc khai thác các lỗ hổng để nhắm mục tiêu vào máy chủ web JAWS (CVE-2016-20016, CVE-2018-10561/10562 and CVE-2017-17215), TP-Link Archer AX21 (CVE-2023-1389), và Ivanti Connect Secure (CVE-2024-21887) để mở rộng các cuộc tấn công.

Botnet UNSTABLE là một biến thể Mirai sử dụng XOR để mã hóa cấu hình của chính nó. Có ba modul chính: khai thác, scanner và tấn công DDoS.

• Mô-đun khai thác nhắm vào ba lỗ hổng: CVE-2016-20016, CVE-2018-10561/10562 và CVE-2017-17215.
• Modul scanner bao gồm một danh sách tên người dùng và mật khẩu được sử dụng cho kỹ thuật brute-force scanning đối với các thiết bị của người dùng trong hệ thống mạng
• Modul tấn công DDoS là một danh sách bao gồm một số giao thức. Botnet UNSTABLE chứa chín phương thức: attack_tcp_ack, attack_tcp_syn, attack_tcp_legit, attack_tcp_sack2, attack_udp_plain, attack_udp_vse, attack_udp_thread, attack_gre_ip và attack_method_nudp. Các botnet có thể lựa chọn phương thức thích hợp dựa trên các lệnh từ máy chủ C2 của nó.

Condi DDoS Botnet nhắm mục tiêu đến lỗ hổng CVE-2023-1389 để giành quyền kiểm soát thiết bị và thực hiện các hành vi bất hợp pháp. Khi một thiết bị bị nhiễm botnet, phần mềm độc hại sẽ ngăn chặn khả năng lây nhiễm từ các botnet khác bằng cách cố gắng chấm dứt các tiến trình của chúng, sau đó nó thiết lập kết nối đến máy chủ C2 và gửi các thông tin liên quan tới máy chủ C2

Tính linh hoạt và hiệu quả vốn có của dịch vụ đám mây đã vô tình cung cấp cho tội phạm mạng một lĩnh vực hoạt động mới. Các tổ chức phải tăng cường bảo vệ an ninh đám mây của mình khi các botnet và công cụ DDoS tiếp tục tận dụng các dịch vụ đám mây.

Việc triển các khai phương pháp bảo mật nhiều lớp, bao gồm các bản vá, cập nhật và phân đoạn mạng là các giải pháp cần thiết để cô lập các tài sản quan trọng và giảm thiểu các vi phạm tiềm ẩn trong hệ thống.

Bảo vệ với Fortinet

Các Malware trên được phát hiện và ngăn chặn bởi FortiGuard Antivirus dưới dạng:

• BASH/Mirai.AEH!tr.dldr
• ELF/Gafgyt.ST!tr
• ELF/Mirai.CDB!tr
• ELF/Mirai.CEA!tr
• ELF/Mirai.CPD!tr
• ELF/Mirai.OX!tr
• ELF/Skibidi.CQC!tr
• ELF/UDPFlooder.1C8B!tr
• ELF/UDPFlooder.1EE7!tr
• ELF/UDPFlooder.E063!tr
• Linux/Mirai.CPD!tr
• Linux/Mirai.REAL!tr

FortiGate, FortiMail, FortiClient, và FortiEDR hỗ trợ dịch vụ FortiGuard AntiVirus

Dịch vụ FortiGuard Web Filtering giúp ngăn chặn kết nối tới máy chủ C2 và tải xuống các URL độc hại.

FortiGuard Labs cung cấp IPS signatures chống lại các tấn công khai thác các lỗ hổng sau:

• CVE-2016-20016: JAWS.DVR.CCTV.Shell.Unauthenticated.Command.Execution
• CVE-2017-17215: Huawei.HG532.Remote.Code.Execution
• CVE-2018-10561: Dasan.GPON.Remote.Code.Execution
• CVE-2018-10562: Dasan.GPON.Remote.Code.Execution
• CVE-2023-1389: TP-Link.Archer.AX21.Unauthenticated.Command.Injection
• CVE-2024-21887: Ivanti.Connect.Secure.Policy.Secure.Authentication.Bypass

Fortinet cũng có các khóa đào tạo miễn phí về Information Security Awareness giúp người dùng tìm hiểu về các mối đe dọa và tránh khỏi các cuộc tấn công lừa đảo

Dịch vụ FortiGuard IP Reputation và Anti-Botnet Security chủ động ngăn chặn các cuộc tấn công đề cập ở trên bằng cách tổng hợp dữ liệu nguồn IP malicious từ mạng phân phối dữ liệu Fortinet distributed network gồm các cảm biến về các mối đe dọa, CERTs, MITRE, đối thủ và các nguồn khác để cập nhật thông tin về mối đe dọa.

Hiện tại Tech Horizon là nhà phân phối chính thức của FORTINET tại thị trường Việt Nam.
Quý đơn vị có nhu cầu vui lòng liên hệ với chúng tôi để được hỗ trợ tư vấn và lắp đặt các thiết bị bảo mật với chi phí đầu tư cạnh tranh, giải pháp đa dạng, hỗ trợ kỹ thuật tận tình.

————————————————————————-

CÔNG TY CP TMDV CÔNG NGHỆ CHÂN TRỜI (TECH HORIZON CORP) 

Trụ sở: Số 22, đường số 9, KDC Trung Sơn, Bình Hưng, Bình Chánh, TP.HCM
VP Hà Nội: Tầng 4, Sport Hotel, Làng Sinh viên Hacinco, Thanh Xuân, Hà Nội 
Website: https://techhorizonvn.com
Email: info@techhorizonvn.com
Điện thoại: 028 5431 6047 hoặc 024 6286 2118
Fanpage: Tech Horizon Việt Nam

Xuân Hoàng/ Tech Horizon

Tags: Anti-Botnet Security, FortiGuard AntiVirus, FortiGuard IP Reputation, FortiGuard Web Filtering, IPS signatures