Rss Feed
Xây dựng phong cách người CAND bản lĩnh
Tuyên truyền phổ biến, giáo dục pháp luật
Bông Hồng Xanh
tap chi

Thống kê

  • Đang truy cập: 32
  • Khách viếng thăm: 31
  • Máy chủ tìm kiếm: 1
  • Hôm nay: 5040
  • Tháng hiện tại: 82949
  • Tổng lượt truy cập: 2427137

Vẫn từ lỗ hổng của Windows, một cuộc tấn công khác đang được dự báo là có thể lớn hơn cả WanaCry

Đăng lúc: Chủ nhật - 21/05/2017 07:57 - Người đăng bài viết: Tạp Chí
Tuần qua, khi thế giới hứng chịu một trong những cuộc tấn công mạng lớn nhất trong lịch sử của ramsomware WannaCry thì một mã độc khác dựa trên cơ chế khai thác lỗ hổng Windows EternalBlue (MS17-010) cũng đang âm thầm lây lan với tốc độ chóng mặt. Theo một báo cáo của The Registrar hôm qua (17/05/2017), hàng chục nghìn máy tính trên toàn cầu đã bị ảnh hưởng bởi cuộc tấn công "Adylkuzz" nhằm mục đích khai thác sử dụng chúng như các mạng botnet sử dụng để đào tiền ảo Monero.
 
Monero - đang được phổ biến bởi các hacker liên quan đến Bắc Triều Tiên - là một loại tiền ảo mã nguồn mở được tạo ra vào tháng 4 năm 2014 tập trung vào sự riêng tư, phân quyền và khả năng mở rộng. Đây là một sự thay thế cho Bitcoin và đang được sử dụng để buôn bán ma túy, thẻ tín dụng bị đánh cắp và hàng giả.
 
Về mặt thiệt hại, mã độc này không trực tiếp gây ra các thiệt hại cho người dùng nạn nhân mà chỉ sử dụng hệ thống bị lây nhiễm của họ cho việc xây dựng các botnet nhằm tăng cường khả năng đào tiền ảo. Thậm chí người dùng có thể cảm thấy khá may mắn khi mã độc này còn tắt các kết nối mạng SMB để ngăn chặn sự lây nhiễm thêm của các phần mềm độc hại khác (bao gồm sâu WannaCry) thông qua lỗ hổng EternalBlue. 
 

 
Nói cách khác, nếu một máy tính bị nhiễm Adylkuzz, thì theo cách nào đó nó có thể an tâm về khả năng kháng lại các tấn công sử dụng lỗ hổng EternalBlue khác. Rõ ràng điều này là có vẻ “có lợi” cho người dùng và họ hoàn toàn không ý thức được việc hệ thống của mình bị lây nhiễm. Tuy nhiên, khi trở thành một nạn nhân của Adylkuzz, người dùng đã trở thành một botnet trong mạng và sẽ trở thành một nguồn phát tán cho các cuộc tấn công không gian mạng được điều khiển bởi kẻ tấn công. Thậm chí, với các kết nối C&C được điều khiển bởi những kẻ tấn công thì dữ liệu trên máy của họ hoàn toàn có thể bị đánh cắp và sử dụng bất cứ khi nào.
 
Theo các nhà nghiên cứu, số lượng các cuộc tấn công Adylkuzz vẫn đang gia tăng. Thống kê ban đầu cho thấy, cuộc tấn công này có thể lớn hơn WannaCry, ảnh hưởng đến hàng trăm nghìn máy tính cá nhân và máy chủ trên toàn thế giới. Theo đội ngũ chuyên gia tại Proofpoint cho biết: "Khi bị lây nhiễm thông qua việc khai thác lỗ hổng "EternalBlue", botnet Adylkuzz đã được cài đặt và có thể được sử dụng để tạo ra các cuộc tấn công không gian mạng cho kẻ tấn công.
 
Chiến dịch Adylkuzz bắt đầu vào khoảng thời gian từ ngày 24 tháng 4 đến ngày 2 tháng 5. Vì nó bắt đầu trước khi WanaCryptor tấn công vào ngày 12 tháng 5, do đó các chuyên gia cho rằng một số công ty đã lầm tưởng rằng họ đang bị tấn công bởi ransomware WannaCry, nhưng trên thực tế nó là Adylkuzz.
 
Một số dấu hiệu để nghi ngờ rằng một hệ thống đang bị tấn công bởi phần mềm độc hại này bao gồm: mất quyền truy cập vào tài nguyên chia sẻ trên Windows; hiệu suất máy tính và mạng chậm hơn.
 
Giống như WannaCry, Adylkuzz tận dụng lỗ hổng Windows MS17-010 trên cổng TCP 445. Cuộc tấn công này bắt nguồn từ một số máy chủ cá nhân đang quét trên cổng 445 của nạn nhân. Một khi lỗ hổng EternalBlue tìm thấy trên một máy tính mục tiêu, nó sẽ cài đặt cửa hậu của DoublePulsar, sau đó tiêm nhiễm Adylkuzz vào máy nạn nhân. 
 
Hãng bảo mật Proofpoint đã phát hiện ra vụ tấn công này khi họ đang tìm kiếm mã độc WannaCry bằng cách thiết lập một máy tính chứa lỗ hổng EternalBlue. Quá trình phân tích đã có thể đưa ra một số địa chỉ web nhận tiền gửi Monero bắt đầu từ ngày 24 tháng 4. Một giao dịch với số tiền Moreno có trị giá khoảng 43.000 đô la Mỹ đã được phát hiện.
 
Có thể thấy từ khi các lỗ hổng MS17-010 hay EternalBlue bị rò rỉ khỏi kho dữ liệu NSA thì WanaCrypt0r/WannaCry không phải là nhóm tội phạm duy nhất đưa DoublePulsar và EternalBlue sử dụng cho các mục đích phát tán tấn công. Do đó có thể thấy đây là một trong những lỗ hổng nghiêm trọng nhất hiện nay trên hệ điều hành Windows. 
 
Để tránh bị khai thác tấn công, biện pháp đơn giản nhất với người dùng là đóng các cổng 445 hoặc nâng cấp các phiên bản mới của Windows hoặc tiến hành cập nhật các bản vá được cung cấp cho lỗ hổng này.
Tác giả bài viết: Trần Anh Tú
Nguồn tin: antoanthongtin.vn
Đánh giá bài viết
Tổng số điểm của bài viết là: 0 trong 0 đánh giá
Click để đánh giá bài viết

Ý kiến bạn đọc

 

Văn bản mới

Số: 13/2017/QH14
Tên: (Luật Cảnh vệ)

Ngày BH: (19/06/2017)

Số: Chỉ thị số 13-CT/TW
Tên: (Về tăng cường sự lãnh đạo của đảng đối với công tác quản lý, bảo vệ và phát triển rừng)

Ngày BH: (11/01/2017)

Số: Thông tư 49/2017/TT-BCA
Tên: (Quy định chi tiết chế độ bồi dưỡng giám định tư pháp trong lĩnh vực kỹ thuật hình sự; thành phần, số người thực hiện nhiệm vụ khi giám định đối với trường hợp khám nghiệm tử thi, mổ tử thi và khai quật tử thi)

Ngày BH: (25/10/2017)

Số: Chỉ thị số 14-CT/TW
Tên: (Tăng cường sự lãnh đạo của Đảng đối với công tác người có công với cách mạng)

Ngày BH: (18/07/2017)

Số: 1884/QyĐ-T48
Tên: (Quy định về văn hóa ứng xử của cán bộ, giảng viên, công nhân viên và sinh viên Trường Đại học CSND)

Ngày BH: (12/10/2017)

Số: 27/2017/TT-BCA
Tên: (Quy định về quy tắc ứng xử của Công an nhân dân)

Ngày BH: (21/08/2017)

Số: 124/2015/NĐ-CP
Tên: (NGHỊ ĐỊNH SỐ 185/2013/NĐ-CP NGÀY 15 THÁNG 11 NĂM 2013)

Ngày BH: (14/11/2013)

Số: Chứng chỉ Tin học ICDL
Tên: (ICDL là chứng chỉ kỹ năng sử dụng công nghệ thông tin)

Ngày BH: (12/11/2015)

Số: 2785/BYT-KCB
Tên: (Tăng cường thực thi Luật Phòng, chống tác hại thuốc lá và hưởng ứng Ngày thế giới không thuốc lá; Tuần lễ Quốc gia không thuốc lá năm 2016)

Ngày BH: (15/05/2016)

Số: VBQPPL
Tên: (Hệ thống văn bản về thuế 2)

Ngày BH: (09/05/2017)