Mối đe dọa mới trong hệ điều hành Linux có thể gây hậu quả "khôn lường"

Một loại virus mới xuất hiện tấn công vào hệ thống Linux, được gọi  là "Linux/Shishiga" có thể trở thành mối đe dọa lớn về bảo mật.

Vào hôm thứ ba, công ty bảo mật Eset đã tiết lộ về mối đe dọa này, nó là một nhóm Lua mới, nhưng không hề có liên quan gì đến loại LuaBot đã được biết đến trước đây.

Trên một bài đăng trực tuyến, kĩ sư Michal Malik và công ty bảo mật Eset cho hay: Linux/Shishiga sử dụng bốn giao thức khác nhau - SSH, Telnet, HTTP, BitTorrent - và các đoạn script Lua cho mođun.

Giám đốc cấp cao của Cyphort - Nick Bilogorskiy cho biết: "Lua là ngôn ngữ lập trình được nhà sản xuất APT lựa chọn".

Theo như Cyphort phát hiện và cho LinuxInsider hay: Lua được sử dụng cho Flame và EvilBunny.

Lua là ngôn ngữ lập trình đặc trưng bởi tính gọn nhẹ và bản chất có thể nhúng, chính điều đó đã biến Lua thành một ngôn ngữ lập trình hệ thống hiệu quả. Nó hỗ trợ lập trình thủ tục, lập trình hướng đối tượng, lập trình hướng chức năng, lập trình điều khiển bởi dữ liệu và mô tả dữ liệu.

Ông Jacob Ansari - Giám đốc PCI tại công ty Schellman & Company nhận định: "Tuy loại phần mềm độc hại này không phá vỡ bất kỳ lỗ hổng bảo mật nào, nhưng nó sẽ tinh chỉnh một số kỹ thuật hiện có mà nó "mượn" được từ những phần mềm độc khác."

Ông Jacob Ansari còn cho biết: "Linux/Shishiga sử dụng một loạt các mô-đun trong một ngôn ngữ lập trình kịch bản được gọi là 'Lua', điều này tạo cho nó thiết kế linh hoạt hơn". Rất có khả năng các biến thể của mã này cùng nhiều khả năng thú vị khác sẽ lan truyền nhờ thiết kế mô-đun này.

Vậy Linux/Shishiga làm những gì?

Linux/Shishiga nhắm vào hệ thống GNU/Linux sử dụng một loại lây nhiễm phổ biến dựa trên kỹ thuật Brute-force áp dụng cho các danh sách mật khẩu được cài sẵn. Kỹ thuật này là một kiểu thử đúng sai liên tục vào phần đăng nhập nào đó, thường sử dụng những thư viện mật khẩu có sẵn để tự động đăng nhập cho đến khi thành công. Vì dựa trên Brute-fore nên phần mềm độc hại này cũng dùng danh sách password để thử nhiều loại mật khẩu khác nhau hòng cố gắng truy cập vào hệ thống. Đây là cách tiếp cận tương tự mà phần mềm độc mà Linux/Moose sử dụng với khả năng bổ sung của kiểu tấn công Brute-forcing.

Nếu mang ra so sánh, Linux/Moose là một nhóm phần mềm độc hại chủ yếu nhắm mục tiêu vào bộ định tuyến dựa trên Linux, cáp và modem DSL cũng như các máy tính nhúng khác. Khi nhiễm độc, các thiết bị đã bị xâm nhập được hacker dùng để ăn cắp lưu lượng mạng không mã hóa và cung cấp proxy cho nhà điều hành mạng bonet.

Eset đã tìm ra một số bộ đôi (binary) của Linux/Shishiga cho những kiến trúc khác nhau, bao gồm cả MIPS (cả big-endian và little-endian), ARM (armv4l), i686 và PowerPC, thường được sử dụng trong các thiết bị IoT. Các cấu trúc khác như SPARC, SH-4 hay m68k cũng có thể được hỗ trợ.

Chi tiết về Shishiga

Linux/Shishiga là một bộ đôi khép kín với UPX (Ultimate Packer Executable) 3.91. Công cụ UPX có thể gặp sự cố khi giải nén bởi Shishiga bổ sung dữ liệu vào cuối các file nén. Sau khi giải nén, nó được liên kết tĩnh với thư viện runtime Lua và loại bỏ mọi dấu vết.

Ông Malik và cộng sự đã nhận thấy một số thay đổi nhỏ như các phần của một số mô-đun đã được viết lại, những mô-đun đang kiểm tra khác thì lại được thêm vào và các tâp tin dự phòng đã bị xóa. Họ cũng thừa nhận, tất cả những thay đổi này không có cái nào thực sự đáng chú ý.

Ông Malik và nhóm cộng sự cũng cho biết thêm: Chức năng chính của mô-đun server.lua là tạo máy chủ HTTP với cổng được định nghĩa trong config.lua như cổng 8888. Máy chủ chỉ phản hồi tới các yêu cầu /info và /upload.

"Sự kết hợp việc sử dụng ngôn ngữ lập trình kịch bản và liên kết nó tĩnh với thư viện thông dịch Lua rất thú vị". Ông Mounir Hahad -  Giám đốc cấp cao tại phòng thử nghiệm của Cyphort cho hay.

Ông nói với LinuxInsider: "Điều này có nghĩa là các tác giả đã chọn Lua là ngôn ngữ lập trình kịch bản để dễ sử dụng, hoặc lấy mã từ một nhóm phần mềm độc hại khác, sau đó điều chỉnh nó cho từng cấu trúc cụ thể bằng cách liên kết tĩnh đến thư viện Lua".

Sự khác biệt của Linux/Shishiga

Theo Malik và các nhà nghiên cứu của Eset: Dù có sự tương đồng nổi bật với các phiên bản của LuaBot từng lây lan trên Telnet và SSH thì Linux/Shishiga vẫn khác biệt. Nó sử dụng giao thức BitTorrent và mô-đun Lua.

Hahad cho hay: "Không giống như phần mềm độc hại Mirai của IoT là nhắm vào các thông tin mặc định trên các thiết bị IoT, kỹ thuật tấn công Brute-force này nhắm mục tiêu tấn công đến các máy tính Linux được bảo vệ bởi mật khẩu yếu".

Ông cũng chỉ ra rằng: "Thông thường, người dùng Linux khá am hiểu và sẽ không sử dụng những mật khẩu như vậy cho các hoạt động đăng ký của mình. Do đó, chưa chắc phần mềm độc hại này có thể lan tràn rộng rãi."

Các nhà nghiên cứu Eset đã cảnh báo rằng số lượng nạn nhân hiện nay thấp, tuy nhiên có thể tăng lên trong thời gian tới.

Theo như ông Ansari của Schellman & Company: Điều này có khả năng xảy ra. Phần mềm độc hại mới này khai thác các mật khẩu mặc định hoặc dễ đoán cho các hệ thống Linux, thường qua Telnet hoặc SSH.

Giữ an toàn

Ông Vikram Kapoor - Giám đốc công nghệ tại Lacework lưu ý: Hầu hết các máy Linux đang chạy trong trung tâm dữ liệu hoặc nhúng trong các thiết bị IoT. Và Shishiga có vẻ như được tạo ra để nhắm tới các trung tâm dữ liệu và các thiết bị IoT đó.

Ông Kapoor cho biết: Các thiết bị IoT rất dễ bị tấn công bằng kỹ thuật Brute-force thông qua SSH/Telnet vì có quá nhiều mật khẩu mặc định. Ngoài ra, các trung tâm dữ liệu cũng là những mục tiêu béo bở và nếu hacker sử dụng thành công Shishiga để tấn công trung tâm dữ liệu, các doanh nghiệp sẽ gặp khó khăn trong việc tìm ra dấu vết của chúng, trừ khi họ có một vài hướng giải quyết như phân tích sâu hoạt động VM và traffic east-west (traffic từ máy chủ đến máy chủ).

Ông Malik và nhóm nghiên cứu Eset gợi ý: Để ngăn chặn thiết bị của bạn khỏi nhiễm virus từ Shishiga và các loại virus tương tự, bạn không nên sử dụng các thông tin đăng nhập Telnet và SSH dạng mặc định. 

Theo ông Ansari, việc chống lại phần mềm độc hại này đòi hỏi phải thay đổi mật khẩu quản trị viên, đặc biệt đối với những người dùng bị bỏ quên đang ẩn trong các góc trên hệ thống. Để chống lại loại đe dọa này cần phải có biện pháp bảo vệ sâu rộng mà các nhân viên bảo mật đã nhắc tới nhiều lần rồi: tích cực khắc phục, xem xét cẩn thận nhật kí dữ liệu, tìm kiếm tập tin, quá trình khả nghi và kiểm tra nghiêm ngặt các phản hồi.

Cách sao lưu và phục hồi dữ liệu trên Ubuntu với sBackup

Máy tính là một thiết bị thường hoạt động không ổn định, các nhà cung cấp sẽ không thông báo cho bạn những vấn đề đang xảy ra với máy tính của mình, họ chỉ luôn tập trung vào những xu hướng quan trọng của thời đại. Và khi xảy ra sự cố hay hỏng hóc, chúng sẽ lấy đi toàn bộ công sức mà bạn đã bỏ ra hàng tuần, thậm chí là hàng tháng để làm. Chỉ có việc sao lưu lại các dữ liệu mới có thể giúp bạn tránh được các sự cố như vậy. Đối với người dùng Linux thì sBackup là một giải pháp không thể bỏ qua.

sBackup cho phép bạn nhiều tùy chọn cho những gì cần sao lưu, và khi đã cấu hình xong việc sao lưu sẽ được diễn ra một cách thường xuyên cho bạn. Một tính năng quan trọng mà giải pháp này cung cấp đó là có thể giúp bạn khôi phục dữ liệu rất dễ dàng. Sau đây chúng tôi sẽ hướng dẫn bạn cách cài đặt và sử dụng sBackup trên Ubuntu.

Cài đặt sBackup

Hầu hết các phiên bản mới của Ubuntu Linux đều tích hợp sBackup như một phần mặc định của repository apt-get. Bạn có thể cài đặt sBackup bằng lệnh sau:

sudo apt-get install sbackup

Hoặc bạn cũng có thể tải về và cài đặt nó bằng cách sử dụng Synaptic Package Manager. Khởi động Synaptic và nhập từ khóa “sBackup“ vào ô tìm kiếm. Kích chuột vào tập tin tìm được để cài đặt sau đó nhấn Apply để hoàn tất tiến trình. Cả hai phương pháp này sẽ tải về và cài đặt tất cả các thư viện dependancies cho bạn.

Sau khi cài đặt, sBackup sẽ xuất hiện trong menu System. Kích chuột vào menu System phía trên cùng màn hình, chọn Administration. Tại danh sách này bạn sẽ thấy có thêm hai mục mới là Simple Backup Config và Simple Backup Restore. 

Cấu hình

Đầu tiên bạn hãy thiết lập các tùy chọn cho sBackup bằng cách kích chuột vào mục Simple Backup Config trong menu System để khởi động chương trình. Một cửa sổ hiện ra, trong cửa sổ này gồm nhiều thẻ dùng để tùy chỉnh các phần khác nhau.

Thẻ “General” cho phép bạn kiểm soát việc sao lưu theo cách thủ công hoặc tự động theo lịch trình do bạn sắp xếp. Tại đây có 3 lựa chọn:

- Use recommended backup settings: Sử dụng các cài đặt mặc định của sBackup. Với tùy chọn này một số các thư mục quan trọng như /home và /var sẽ được sao lưu thường xuyên.

- Use custom backup settings: Thiết lập riêng những phần sẽ được sao lưu theo thời gian do người dùng định sẵn.

- Manual backups only: Thiết lập thủ công quá trình sao lưu khi người dùng cho phép.

Ở đây chúng tôi chọn phần Manual backups only: 

Hai thẻ tiếp theo cho phép bạn thêm (thẻ included) hay bớt (thẻ excluded) những phần khi sao lưu. Mặc định trong thẻ included chứa danh sách các thư mục khởi động, bạn có thể thêm bất kỳ thư mục nào cần sử dụng tại đây. Ngoài ra bạn cũng có thể thêm những tập tin cá nhân vào đây, ở hình minh họa bên dưới chúng tôi tạo thư mục để chứa projects và có địa chỉ /opt/projects. Để thêm thư mục này, kích vào nút Add Directory và tìm đến /opt/projects. Tương tự, bạn cũng có thể tùy chỉnh các thư mục hoặc tập tin sẽ không sao lưu trong thẻ excluded.

Tiếp theo là thẻ Destination. Mặc định thư mục chứa các phần được sao lưu là /var/backup dành cho trường hợp bạn muốn lưu toàn bộ dữ liệu ngay trên máy đó. Trong trường hợp bạn đang dùng máy khác và muốn lưu lại những tập tin của mình về máy nào đó thì bạn có thể sử dụng tính năng sao lưu từ xa của sBackup. Bạn có thể cấu hình cho quá trình sao lưu này thông qua việc sử dụng SCP hoặc FTP. Các tùy chọn khác dùng để sao lưu trên ổ đĩa cứng gắn ngoài. Nhưng bạn phải gắn thiết bị đó vào máy tính trước khi thực hiện việc này. Đây là một tùy chọn rất hữu ích để sao lưu cục bộ bởi dữ liệu sẽ được tự động sao lưu hàng tuần trên máy chủ từ xa.

Thẻ Time là một thẻ quan trọng trong sBackup, nó cho phép cấu hình lại tần số của các bản sao lưu.

Lưu ý: Khi làm điều này thì việc sao lưu hàng ngày sẽ diễn ra nhiều hơn khi những tập tin có bất kỳ sự thay đổi nào. Ngoài ra tại tùy chọn này bạn có thể thiết lập thời gian để tiến hành quá trình sao lưu một cách toàn bộ, mặc định là sau 21 ngày.

Cuối cùng là thẻ Purge. Thẻ này cho phép bạn thiết lập thời gian lưu trữ các bản dữ liệu được sao lưu. Ở đây chúng tôi chọn Logarithmic.

Sau khi hoàn tất việc cấu hình các tùy chọn bạn kích vào Save và đóng cửa sổ chương trình lại để xem các bản sao lưu đang được thực hiện.

Khôi phục các bản dữ liệu đã sao lưu

Máy tính của bạn đang hoạt động bình thường bỗng nhiên bị đơ và lúc này việc phục hồi lại những dữ liệu đã sao lưu trước đó là một cách tốt nhất. Để thực hiện điều này bạn làm như sau:

Trên menu System chọn Administration >> chọn tiếp Simple Backup Restore. sBackup sẽ hiện ra một danh sách các thư mục mặc định của chương trình. Nếu bạn không để dữ liệu của mình ở đây bạn có thể tìm đến thư mục của mình và chọn lại sau đó kích vào Restore hoặc Restore As để bắt đầu quá trình phục hồi.

Đối với người dùng Linux thì sBackup là một công cụ mạnh mẽ để tiến hành việc sao lưu và phục hồi dữ liệu. Giao diện chương trình thân thiện cùng với cách sử dụng đơn giản sẽ giúp tất cả mọi người đều có thể dùng nó một cách dễ dàng.