Buzz
Hiện nay, người dùng thiết bị Android đang đối mặt với virus malware CopyCat. Nguyên nhân chủ yếu là do tải các file APK từ nguồn không chính thức như Google APK Player. Khi điện thoại của bạn bị nhiễm virus này, malware CopyCat sẽ chiếm quyền quản trị điện thoại và thực hiện các hành vi độc hại. Do đó, hãy cẩn thận khi tải ứng dụng Android từ internet
Trong nửa đầu năm 2017, đã xuất hiện nhiều mã độc và Ransomware đe dọa tới sự an toàn của dữ liệu quan trọng của người dùng. Khi gặp phải các mã độc này, người dùng sẽ phải trả tiền để khôi phục lại dữ liệu. Gần đây, một mã độc mới có tên Petya Ransomware đã xuất hiện với cách hoạt động tương tự như WannaCry. Petya Ransomware xâm nhập vào hệ thống, lấy cắp dữ liệu và buộc người dùng phải trả tiền để giữ lại thông tin đó. Nếu bạn chưa rõ về Petya Ransomware, bạn có thể tìm hiểu thêm tại đây
Ngay sau khi phát hiện ra sự xuất hiện của EternalRocks, đã có nhiều phương pháp hướng dẫn người dùng diệt EternalRocks. Hãy tham khảo các biện pháp để tự bảo vệ khỏi virus này.
Một nhà nghiên cứu bảo mật phát hiện một loại malware mới có khả năng tự lây lan bằng cách khai thác lỗ hổng trong giao thức chia sẻ file SMB trên hệ điều hành Windows. Malware này mang tên là Eternal Rocks, không giống với Ransomware WannaCry. EternalRocks chỉ sử dụng 2 công cụ hack ăn cắp từ NSA, Cơ quan An ninh Nội địa Mỹ. Loại malware EternalRocks khai thác tất cả 7 công cụ.
EternalRocks là gì? Cách tránh EternalRock
Trong tuần trước, người dùng đã bị cảnh báo về việc nhiều nhóm hacker khai thác các công cụ hack ăn cắp từ NSA và tấn công người dùng. Cuộc tấn công Ransomware WannaCry, mặc dù sử dụng 2 công cụ chủ yếu là EternalBlue và DoublePulsar.
Theo trang TheHackerNew, Miroslav Stampar, một nhà nghiên cứu bảo mật, sáng tạo ra công cụ nổi tiếng 'sqlmap' và hiện là thành viên của CERT Chính phủ Croatia, đã phát hiện ra một loại malware mới có tên gọi là Eternal Rocks. Nó được đánh giá nguy hiểm hơn nhiều so với WannaCry. Mặc dù đã có nhiều biện pháp phòng tránh WannaCry, nhưng hiện chưa có giải pháp nào để chống lại Eternal Rocks. Vậy, EternalRocks là gì? Cách phòng tránh EternalRock, và tại sao nó được cho là nguy hiểm hơn WannaCry gấp nhiều lần?
EternalRocks là gì?
Không giống với WannaCry, Eternal Rock được thiết kế để hoạt động một cách bí mật, đảm bảo rằng nó không bị phát hiện bởi các chương trình, phần mềm diệt virus trên hệ thống bị tấn công.
Stampar phát hiện ra EternalRock sau khi malware này xâm nhập vào SMB honeypot của ông.
7 công cụ mà EternalRocks sử dụng để tận dụng và xâm nhập, bao gồm
1. EternalBlue - công cụ khai thác lỗ hổng SMBv1.
2. EternalRomance - công cụ khai thác lỗ hổng SMBv1.
3. EternalChampion - công cụ khai thác lỗ hổng SMBv2.
4. EternalSynergy - công cụ tận dụng lỗ hổng SMBv3.
5. SMBTouch - công cụ theo dõi SMB.
6. ArchTouch - công cụ theo dõi SMB.
DoublePulsar - Backdoor TrojanSMBTouch và ArchTouch là các công cụ theo dõi SMB, được thiết kế để quét các cổng SMB mở trên internet công cộng.
EternalBlue, EternalChampion, EternalSynergy và EternalRomance là những điểm yếu của SMB, được tạo ra để bất đồng đối thoại với các máy tính Windows dễ bị tấn công.
DoublePulsar được sử dụng để tự lây lan từ máy tính bị ảnh hưởng đến các máy khác trên cùng một mạng.
Stampar đã phát hiện rằng EternalRocks giả mạo thành WannaCry để đánh lừa các chuyên gia an ninh mạng, nhưng thay vì phát ransomware, Eternal Rocks có khả năng kiểm soát trái phép máy tính bị ảnh hưởng để khởi động các cuộc tấn công không gian mạng trong tương lai.
Phương thức tấn công của EternalRocks
Quá trình cài đặt EternalRocks diễn ra trong 2 bước quan trọng.
Ở bước đầu tiên, Eternal Rock tải xuống trình duyệt Tor Browser trên các máy tính bị ảnh hưởng, sau đó sử dụng để kết nối với máy chủ điều khiển và kiểm soát (C&C) trên mạng Tor trên Dark Web.
'Bước đầu tiên của phần mềm độc hại UpdateInstaller.exe tải các thành phần quan trọng như .NET (cho các bước tiếp theo), TaskScheduler và SharpZLib từ Internet, loại bỏ các thành phần như svchost.exe và taskhost.exe', Stampar nói.
Theo Stampar, bước thứ hai diễn ra sau 24 giờ để tránh các kỹ thuật sandboxing, và không thể phát hiện sự lây nhiễm của virus sâu.
Sau 24 giờ, Eternal Rock phản hồi với máy chủ C&C, sử dụng 7 công cụ để thực hiện tấn công và kiểm soát máy tính của bạn.
'Thành phần svchost.exe được sử dụng để tải, giải nén và chạy Tor từ archive.torproject.org cùng với C&C (ubgdgno5eswkhmpy.onion) yêu cầu thực hiện thêm hướng dẫn (như cài đặt các thành phần mới)', Stampar mô tả.
Tất cả 7 lỗ hổng SMB được tải về máy tính bị nhiễm. Sau đó, Eternal Rock quét trên internet các cổng SMB mở để lây lan sang các hệ thống dễ bị tấn công khác.
Cách ngăn chặn EternalRock
Hiện tại, vẫn chưa có giải pháp phòng tránh Eternal Rocks một cách hiệu quả. Tuy nhiên, để giảm thiểu nguy cơ lây nhiễm từ các mã độc như WannaCry và EternalRocks, bạn nên thực hiện những bước sau:
1. Lựa chọn 1 trong 5 phương pháp ngăn chặn WannaCry được Mytour giới thiệu trong loạt bài hướng dẫn phòng tránh virus WannaCry
2. Tiến hành cập nhật Windows (bao gồm các bản vá liên quan đến giao thức SMB)
- Tải bản vá cho Windows XP Update SP2 64bit
- Tải bản vá cho Windows XP Update SP3 32bit
- Tải bản vá cho Windows XP Update SP3 Embedded 32bit
- Tải bản vá lỗi cho Windows 7 Update 64bit
- Tải bản vá lỗi cho Windows 7 Update 32bit
- Tải bản vá lỗi cho Windows 8 Update 64bit
- Tải bản vá lỗi cho Windows 8 Update 32bit
- Tải bản vá lỗi cho Windows Server 2003 Update SP2 64bit
- Tải bản vá lỗi cho Windows Server 2003 Update SP2 32bit
Chúng tôi mong rằng các chuyên gia hàng đầu sẽ sớm tìm ra cách phòng tránh Eternal Rock.
