(CAO) Một nhà nghiên cứu bảo mật cho biết đã xuất hiện một loại mã độc mới và tự lây lan bằng cách khai thác lỗ hổng trong giao thức chia sẻ tệp tin SMB của Windows.
Vừa qua, Miroslav Stampar một nhà nghiên cứu về an ninh, người đã tạo ra công cụ “sqlmap” (công cụ khai thác lỗ hổng của cơ sở dữ liệu SQL) nổi tiếng đã phát hiện ra một loại mã độc mới, được gọi là EternalRocks.
Mã độc mới nguy hiểm hơn WannaCry và hiện chưa có cách để ngăn chặn, khác với WannaCry chỉ khai thác sử dụng hai công cụ của NSA là EternalBlue và DoublePulsar, EternalRocks khai thác cả bảy công cụ của NSA.
EternalRocks nguy hiểm hơn WannaCry và hiện chưa có cách ngăn chặn.
Không giống WannaCry, EternalRocks dường như được thiết kế để hoạt động bí mật nhằm đảm bảo rằng hệ thống bảo mật và các chương trình duyệt virus trong máy tính của người sử dụng không thể phát hiện ra nó. Tuy nhiên, Stampar đã biết về EternalRocks sau khi chạy thử nó trên honeypot SMB (hệ thống được xây dựng với mục đích giả dạng đánh lừa hacker và mã độc, thu hút sự chú ý, ngăn không cho chúng tiếp xúc với hệ thống thật)
Các công cụ của NSA bị EternalRocks khai thác bao gồm:
Công cụ khai thác EternalBlue - SMBv1
EternalRomance - công cụ khai thác SMBv1
EternalChampion - công cụ khai thác SMBv2
EternalSynergy - công cụ khai thác SMBv3
Công cụ trinh sát SMBTouch - SMB
Công cụ trinh sát ArchTouch - SMB
DoublePulsar - Backdoor Trojan
SMBTouch và ArchTouch là các công cụ trinh sát SMB, được thiết kế để quét các cổng SMB mở trên internet công cộng. Trong khi EternalBlue, EternalChampion, EternalSynergy và EternalRomance là các lỗ hổng của SMB, DoublePulsar sau đó được sử dụng để lây lan mã độc từ một máy tính bị ảnh hưởng sang các máy khác sử dụng cùng một mạng.
Stampar phát hiện ra rằng EternalRocks cải trang thành WannaCry để lừa các nhà nghiên cứu bảo mật, nhưng thay vì thả ransomware, nó sẽ kiểm soát trái phép máy tính bị ảnh hưởng để khởi động các cuộc tấn công an ninh mạng trong tương lai.
Đây là cách hoạt động của EternalRocks:
Cài đặt EternalRocks diễn ra trong một quy trình gồm hai giai đoạn.
Giai đoạn đầu tiên, EternalRocks tải xuống trình duyệt web Tor trên các máy tính bị ảnh hưởng, tiếp đến nó sử dụng để kết nối với máy chủ điều khiển và kiểm soát (C&C) của mạng Tor trên Dark Web. Sau đó, nó cài đặt các phần mềm độc hại và các chương trình .NET cần thiết cho giai đoạn 2.
Theo Stampar, giai đoạn hai sẽ diễn ra sau 24 giờ để tránh Sandbox (công nghệ giúp máy tính tránh các mã độc xâm nhập) phát hiện. Sau 24 giờ, EternalRocks sẽ bắt đầu kết nối với máy chủ (C&C), tất cả 7 công cụ của SMB sẽ được tải xuống máy tính bị nhiễm , tiếp theo EternalRocks quét Internet cho các cổng SMB mở để lây lan sang hệ thống trên các máy tính khác.
Hiện nay, chưa có cách ngăn chặn EternalRocks, người dùng vẫn nên tự bảo vệ mình bằng cách thường xuyên kiểm tra cập nhật bảo mật cho máy tính và các tài khoản mạng xã hội, gmail. Không tắt tường lửa, các chương trình diệt virus, không mở các đường dẫn khả nghi trên mail và không tải những liên kết không rõ nguồn gốc.