WhiteHat News #ID:2112
VIP Members
-
16/06/2015
-
83
-
672 bài viết
Update vụ mã độc Bad Rabbit: Có khai thác lỗ hổng SMB để lây lan
Các chuyên gia vừa lên tiếng xác nhận mã độc mã hóa dữ liệu Bad Rabbit sử dụng bộ công cụ khai thác lỗ hổng EternalRomance đã bị đánh cắp của NSA để lây lan. Bad Rabbit là mã độc tống tiền mới nổi lên đầu tuần này, sau khi lây nhiễm hơn 200 tổ chức lớn, chủ yếu tại Nga và Ukraine.
Trước đó, Bad Rabbit được nhận định không sử dụng bất kỳ công cụ khai thác lỗ hổng nào của NSA, không EternalRomance hay EternalBlue, nhưng một báo cáo gần đây của Cisco cho thấy Bad Rabbit đã sử dụng công cụ khai thác lỗ hổng EternalRomance.
Mã độc mã hóa dữ liệu NotPetya đã lây nhiễm hàng chục nghìn hệ thống vào tháng 6 cũng đã lợi dụng công cụ khai thác lỗ hổng EternalRomance cùng EternalBlue. EternalBlue được mã độc WannaCry sử dụng trong các vụ tấn công hồi tháng 6.
Bad Rabbit sử dụng bộ khai thác thực thi mã từ xa EternalRomance SMB
Bad Rabbit không sử dụng lỗ hổng EternalBlue nhưng lợi dụng bộ khai thác EternalRomance RCE để lây lan qua các hệ thống nạn nhân.
EternalRomance là một trong nhiều công cụ tấn công được cho là của nhóm Equation Group, bị rò rỉ bởi nhóm hacker khét tiếng Shadow Brokers vào tháng 4 năm nay.
EternalRomance là một khai thác mã từ xa (CVE-2017-0145) trong Microsoft Windows Server Message Block (SMB), một giao thức để truyền dữ liệu giữa các máy tính Windows được kết nối, để vượt qua an ninh của các kết nối chia sẻ tệp tin, cho phép thực hiện mã từ xa trên các máy khách và máy chủ Windows.
Cùng với EternalChampion, EternalBlue, EternalSynergy và các bộ khai thác khác của NSA do Shadow Brokers rò rỉ, lỗ hổng EternalBomance cũng được Microsoft vá trong tháng 3 này (MS17-010).
Bad Rabbit được phát tán qua các cuộc tấn công drive-by download trên các trang web truyền thông bị xâm nhập của Nga, bằng cách sử dụng trình cài đặt Adobe Flash giả mạo để dụ nạn nhân cài đặt phần mềm độc hại và yêu cầu 0.05 bitcoin (~ 285 đô la) từ nạn nhân để mở khóa các hệ thống của họ.
Làm thế nào Bad Rabbit phát tán trong một mạng
Theo các nhà nghiên cứu, Bad Rabbit đầu tiên quét mạng nội bộ để tìm kiếm các chia sẻ SMB mở, thử một danh sách các thông tin đăng nhập được sử dụng phổ biến để gài mã độc và sử dụng công cụ sau khai thác Mimikatz để trích xuất các thông tin xác thực từ các hệ thống bị ảnh hưởng.
Bad Rabbit cũng có thể khai thác giao diện kịch bản dòng lệnh WMIC (Windows Management Instrumentation Command-line) nhằm thực thi mã trên các hệ thống Windows khác trên mạng từ xa, EndGame cho biết.
Tuy nhiên, theo Cisco, Bad Rabbit cũng mang một mã sử dụng EternalRomance, cho phép tin tặc từ xa truyền từ máy tính bị nhiễm tới các mục tiêu khác hiệu quả hơn.
Các nhà nghiên cứu của Cisco viết: "Chúng tôi tin rằng Bad Rabbit bao gồm một cài đặt EternalRomance đã được tùy biến, từ đó cho phép khởi chạy các dịch vụ từ xa, trong khi ở NotPetya nó được sử dụng để cài đặt backdoor DoublePulsar”.
"Cả hai hành động đều có thể thực hiện được vì EternalRomance cho phép kẻ tấn công đọc/ghi dữ liệu tùy ý vào không gian bộ nhớ kernel".
Cùng nhóm tin tặc đứng sau Bad Rabbit và NotPetya?
Vì cả Bad Rabbit và NotPetya đều sử dụng mã DiskCryptor để mã hóa ổ cứng của nạn nhân và mã "wiper" có thể xóa các ổ đĩa cứng gắn liền với hệ thống bị nhiễm, các nhà nghiên cứu tin rằng "rất có thể" cùng một kẻ tấn công đứng sau cả hai mã độc tống tiền này.
"Nghiên cứu cho thấy BadRabbit đã được biên dịch từ các nguồn NotPetya. BadRabbit có cùng chức năng tính toán băm, logic phân phối mạng và quá trình gỡ bỏ bản ghi…”.
Để phòng ngừa nguy cơ mã độc tấn công, chuyên gia Bkav khuyến cáo người dùng nên sao lưu dữ liệu thường xuyên, cập nhật bản vá cho hệ điều hành, đồng thời chỉ mở các file văn bản nhận từ Internet trong môi trường cách ly Safe Run. Đặc biệt đối với quản trị hệ thống, cần rà soát kỹ các server bởi với công cụ WMIC mã độc có thể dễ dàng lây nhiễm từ một server quản trị domain ra tất cả máy tính trong hệ thống. Người dùng cũng cần cài phần mềm diệt virus thường trực trên máy tính để được bảo vệ tự động. Riêng người dùng Bkav Pro hoặc Bkav Endpoint được tự động bảo vệ trước loại mã độc này.
Trước đó, Bad Rabbit được nhận định không sử dụng bất kỳ công cụ khai thác lỗ hổng nào của NSA, không EternalRomance hay EternalBlue, nhưng một báo cáo gần đây của Cisco cho thấy Bad Rabbit đã sử dụng công cụ khai thác lỗ hổng EternalRomance.
Mã độc mã hóa dữ liệu NotPetya đã lây nhiễm hàng chục nghìn hệ thống vào tháng 6 cũng đã lợi dụng công cụ khai thác lỗ hổng EternalRomance cùng EternalBlue. EternalBlue được mã độc WannaCry sử dụng trong các vụ tấn công hồi tháng 6.
Bad Rabbit sử dụng bộ khai thác thực thi mã từ xa EternalRomance SMB
Bad Rabbit không sử dụng lỗ hổng EternalBlue nhưng lợi dụng bộ khai thác EternalRomance RCE để lây lan qua các hệ thống nạn nhân.
EternalRomance là một trong nhiều công cụ tấn công được cho là của nhóm Equation Group, bị rò rỉ bởi nhóm hacker khét tiếng Shadow Brokers vào tháng 4 năm nay.
EternalRomance là một khai thác mã từ xa (CVE-2017-0145) trong Microsoft Windows Server Message Block (SMB), một giao thức để truyền dữ liệu giữa các máy tính Windows được kết nối, để vượt qua an ninh của các kết nối chia sẻ tệp tin, cho phép thực hiện mã từ xa trên các máy khách và máy chủ Windows.
Cùng với EternalChampion, EternalBlue, EternalSynergy và các bộ khai thác khác của NSA do Shadow Brokers rò rỉ, lỗ hổng EternalBomance cũng được Microsoft vá trong tháng 3 này (MS17-010).
Bad Rabbit được phát tán qua các cuộc tấn công drive-by download trên các trang web truyền thông bị xâm nhập của Nga, bằng cách sử dụng trình cài đặt Adobe Flash giả mạo để dụ nạn nhân cài đặt phần mềm độc hại và yêu cầu 0.05 bitcoin (~ 285 đô la) từ nạn nhân để mở khóa các hệ thống của họ.
Làm thế nào Bad Rabbit phát tán trong một mạng
Theo các nhà nghiên cứu, Bad Rabbit đầu tiên quét mạng nội bộ để tìm kiếm các chia sẻ SMB mở, thử một danh sách các thông tin đăng nhập được sử dụng phổ biến để gài mã độc và sử dụng công cụ sau khai thác Mimikatz để trích xuất các thông tin xác thực từ các hệ thống bị ảnh hưởng.
Bad Rabbit cũng có thể khai thác giao diện kịch bản dòng lệnh WMIC (Windows Management Instrumentation Command-line) nhằm thực thi mã trên các hệ thống Windows khác trên mạng từ xa, EndGame cho biết.
Tuy nhiên, theo Cisco, Bad Rabbit cũng mang một mã sử dụng EternalRomance, cho phép tin tặc từ xa truyền từ máy tính bị nhiễm tới các mục tiêu khác hiệu quả hơn.
Các nhà nghiên cứu của Cisco viết: "Chúng tôi tin rằng Bad Rabbit bao gồm một cài đặt EternalRomance đã được tùy biến, từ đó cho phép khởi chạy các dịch vụ từ xa, trong khi ở NotPetya nó được sử dụng để cài đặt backdoor DoublePulsar”.
"Cả hai hành động đều có thể thực hiện được vì EternalRomance cho phép kẻ tấn công đọc/ghi dữ liệu tùy ý vào không gian bộ nhớ kernel".
Cùng nhóm tin tặc đứng sau Bad Rabbit và NotPetya?
Vì cả Bad Rabbit và NotPetya đều sử dụng mã DiskCryptor để mã hóa ổ cứng của nạn nhân và mã "wiper" có thể xóa các ổ đĩa cứng gắn liền với hệ thống bị nhiễm, các nhà nghiên cứu tin rằng "rất có thể" cùng một kẻ tấn công đứng sau cả hai mã độc tống tiền này.
"Nghiên cứu cho thấy BadRabbit đã được biên dịch từ các nguồn NotPetya. BadRabbit có cùng chức năng tính toán băm, logic phân phối mạng và quá trình gỡ bỏ bản ghi…”.
Để phòng ngừa nguy cơ mã độc tấn công, chuyên gia Bkav khuyến cáo người dùng nên sao lưu dữ liệu thường xuyên, cập nhật bản vá cho hệ điều hành, đồng thời chỉ mở các file văn bản nhận từ Internet trong môi trường cách ly Safe Run. Đặc biệt đối với quản trị hệ thống, cần rà soát kỹ các server bởi với công cụ WMIC mã độc có thể dễ dàng lây nhiễm từ một server quản trị domain ra tất cả máy tính trong hệ thống. Người dùng cũng cần cài phần mềm diệt virus thường trực trên máy tính để được bảo vệ tự động. Riêng người dùng Bkav Pro hoặc Bkav Endpoint được tự động bảo vệ trước loại mã độc này.
Theo The Hacker News