The sâu EternalRocks được phát hiện gần đây không có công tắc tiêu diệt và có khả năng lây nhiễm cao. Nó khai thác các công cụ bị rò rỉ của NSA và có thể nhanh chóng được vũ khí hóa bằng phần mềm tống tiền, trojan ngân hàng hoặc RAT.
Sau một loạt các cuộc tấn công bằng mã độc tống tiền đã tàn phá toàn cầu trong 10 ngày qua bởi WannaCry, một dòng phần mềm độc hại mới “EternalRocks” đã được nhà nghiên cứu bảo mật Miroslav Stampar xác định. Anh ấy đã phát hiện ra nó vào thứ Tư từ một mẫu trên Honeypot Windows 7 của anh ấy, khi nó bị nhiễm.
Tên ban đầu của nó là “MicroBotMassiveNet” và Stampar đã đặt tên cho nó là “DoomsDayWorm.” EternalRocks được liệt kê dưới dạng tên sản phẩm trong thuộc tính Taskhost.
EternalRocks lây lan bằng cách sử dụng tất cả các khai thác SMB trong vụ rò rỉ, bao gồm cả EternalBlue, được WannaCry sử dụng trong các cuộc tấn công. EternalRocks không chỉ sử dụng EternalBlue mà còn sử dụng EternalChampion, EternalRomance và EternalSynergy, cũng như khai thác nhân ArchiTouch, SMBTouch và DoublePulsar.
EternalRocks là phần mềm độc hại có khả năng tự sao chép, phần mềm này bao gồm nhiều mối đe dọa và nguy hiểm hơn WannaCry. Nó lây lan qua một số lỗ hổng SMB (Khối tin nhắn máy chủ) và sử dụng công cụ NSA có tên là EtnernalBlue để tự lây lan từ máy tính này sang máy tính khác thông qua Windows.
Một số điều quan trọng mà người ta nên biết về EternalRocks:
- Ở dạng hiện tại, ‘EternalRocks’ không khóa hoặc làm hỏng tệp hoặc sử dụng máy bị nhiễm để xây dựng mạng botnet. Tuy nhiên, nó làm cho các máy tính bị nhiễm dễ bị tấn công bởi các lệnh từ xa có thể 'vũ khí hóa' sự lây nhiễm bất cứ lúc nào.
- ‘EternalRocks’ mạnh hơn WannaCry vì nó không có bất kỳ sơ hở nào và bất kỳ công cụ tiêu diệt nào. Những sơ hở này đã làm cho phần mềm tống tiền WannaCry chậm lại và dễ bị phá vỡ.
- ‘EternalRocks không làm bất cứ điều gì trong 24 giờ sau khi nó lây nhiễm vào máy tính, do đó khiến nó khó bị phát hiện hơn. Nó lây lan theo 2 giai đoạn trong khoảng thời gian 24 giờ.
Honeypot là gì?
Một honeypot là một cơ chế bảo mật máy tính được thiết lập để hoạt động như một cái bẫy nhằm thu hút, phát hiện và làm chệch hướng tin tặc cố gắng sử dụng trái phép hệ thống thông tin. Nó xác định các hoạt động độc hại được thực hiện qua internet bằng cách cố tình thu hút và đánh lừa những kẻ tấn công mạng.
Cách EternalRocks khác với Muốn khóc?
Mặc dù EternalRocks sử dụng cùng một lộ trình và điểm yếu để lây nhiễm các hệ thống hỗ trợ Windows, nhưng nó được cho là nguy hiểm hơn nhiều, vì được cho là nó sử dụng tất cả bảy công cụ tấn công so với WannaCry đã bị rò rỉ từ NSA. P>
Phần mềm độc hại WannaCry, chỉ với hai công cụ của NSA, đã gây ra thảm họa bằng cách ảnh hưởng đến 150 quốc gia và hơn 240.000 máy trên toàn cầu. Vì vậy, chúng ta có thể hình dung những gì EternalRocks có thể làm khi nó sử dụng bảy công cụ của NSA.
Tính năng độc đáo của “DoomsDayWorm” là nó im lặng chờ trong khoảng thời gian 24 giờ trước khi sử dụng cửa sau để tải xuống phần mềm độc hại bổ sung từ máy chủ chỉ huy và kiểm soát. Không giống như mã độc tống tiền WannaCry, loại mã độc này đã bị chặn lại do một killswitch được phát hiện bởi một blogger bảo mật.
Trong giai đoạn đầu tiên, EternalRocks cài đặt TOR làm kênh liên lạc C&C (Command-and-Control). Giai đoạn thứ hai bắt đầu sau 24 giờ trôi qua khi máy chủ C&C phản hồi với shadowbrokers.zip. Sau đó, nó sẽ giải nén tệp và bắt đầu quét ngẫu nhiên cổng 445 SMB đang mở của internet.
TOR là gì?
Phần mềm nhắm mắt Vô hình khi chúng ở khắp mọi nơi
TOR là phần mềm cho phép người dùng duyệt web ẩn danh. TOR ban đầu được gọi là The Onion Router, vì nó sử dụng một kỹ thuật gọi là định tuyến củ hành dùng để ẩn thông tin về hoạt động của người dùng. TOR khiến việc theo dõi hoạt động trên Internet trở nên khó khăn hơn bằng cách tách riêng nhận dạng và định tuyến, nó mã hóa dữ liệu, bao gồm cả địa chỉ IP.
Kênh liên lạc C&C (Command-and-Control) là gì?
Máy chủ điều khiển và chỉ huy còn được gọi là máy chủ C&C hoặc C2 là những máy tính được kẻ tấn công sử dụng để duy trì liên lạc với các hệ thống bị xâm nhập trong mạng mục tiêu.
Bảy công cụ NSA bị rò rỉ bởi ShadowBrokers được EternalRocks sử dụng:
EternalBlue — Khai thác SMB1 và SMB2 được sử dụng để truy cập mạng
EternalRomance — một khai thác máy chủ tệp mạng SMB1 từ xa nhắm mục tiêu Windows XP, Server 2003, Vista, Windows 7, Windows 8, Server 2008 và Server 2008 R2
EternalChampion — Công cụ khai thác SMBv2
EternalSynergy — một khai thác thực thi mã từ xa đối với SMB3 có khả năng hoạt động với các hệ điều hành.
4 công cụ trên được thiết kế để xâm phạm máy tính Windows dễ bị tấn công.
SMBTouch — Công cụ theo dõi SMB
ArchTouch — Công cụ do thám SMB
2 công cụ trên dùng để quét các cổng SMB đang mở trên mạng công cộng.
DoublePulsar — dùng để cài đặt phần mềm tống tiền
Giúp lây lan sâu từ máy tính này sang máy tính khác trên cùng một mạng.
Phần mềm tống tiền WannaCry không phải là phần mềm độc hại duy nhất sử dụng EternalBlue hoặc lối khai thác cửa sau, DoublePulsar. Đ công cụ khai thác tiền điện tử được gọi là Adylkuzz đang đào tiền ảo trên các máy bị nhiễm. Một phần mềm độc hại khác lây lan qua phương thức tấn công tương tự được gọi là UIWIX.
Phần hay
Không có báo cáo nào về việc EternalRocks đã được vũ khí hóa. Không có tải trọng độc hại – như phần mềm tống tiền được báo cáo.
Phần xấu
Khi các bản vá SMB hiệu ứng được áp dụng sau đó, các máy bị nhiễm sâu EternalRocks vẫn có thể truy cập từ xa thông qua công cụ DOUBLEPULSAR NSA. Cài đặt Trojan cửa sau DOUBLEPULSAR do EternalRocks để lại luôn mở cửa cho tin tặc.
Phải làm gì để an toàn trước những cuộc tấn công như vậy?
Chặn truy cập bên ngoài vào các cổng SMB trên internet công cộng
- Vá tất cả lỗ hổng SMB
- Chặn quyền truy cập vào máy chủ C&C và chặn quyền truy cập vào Torproject.org
- Theo dõi mọi tác vụ đã lên lịch mới được thêm vào
- Cập nhật hệ điều hành Windows của bạn
- Cài đặt và cập nhật phần mềm chống vi-rút của bạn
- Cài đặt hoặc kích hoạt tường lửa hệ thống để duy trì rào cản giữa các liên kết đáng ngờ và hệ thống của bạn
- Cố gắng tránh cài đặt rõ ràng và mật khẩu đơn giản. Hãy thử sử dụng kết hợp bảng chữ cái và số. Sự kết hợp giữa chữ hoa và chữ thường cũng là một cách tiếp cận an toàn hơn.
Không sử dụng các phiên bản Windows vi phạm bản quyền, nếu bạn có, hệ thống của bạn sẽ dễ bị lây nhiễm hơn. Tốt nhất là cài đặt và sử dụng phiên bản HĐH Windows chính hãng.