26/05/2018, 15:25

EternalRocks là gì? Cách phòng tránh EternalRock

Hiện nay người dùng thiết bị Android đang phải đối mặt với virus malware CopyCat, nguyên nhân chính là từ việc tải các file APK không chính chủ từ Google APK ...

Hiện nay người dùng thiết bị Android đang phải đối mặt với virus malware CopyCat, nguyên nhân chính là từ việc tải các file APK không chính chủ từ Google APK Player, khi điện thoại dính phải virus này, malware CopyCat sẽ chiếm quyền quản trị điện thoại của bạn và thực hiện những hành vi xấu. Chính vì thế, người dùng cẩn thận trọng trong việc tải ứng dụng Android trên internet nhé

Có thể nói nửa đầu năm 2017 có rất nhiều mã độc, Ransomware xuất hiện đe dọa tới sự an toàn tài liệu quan trọng của người dùng, nếu không may dính phải các mã độc này, người dùng sẽ phải trả tiền để lấy lại, và mới đây nhất, đã có thêm một mã độc mới có tên là Petya Ransomware với cách thức hoạt động giống với WannaCry, Petya Ransomware sẽ xâm nhập và lấy cắp dữ liệu buộc người dùng phải trả tiền để lấy lại các dữ liệu đó, ngay lúc này, các bạn nên chuẩn bị những cách để phòng chống mã độc Petya Ransomware, nếu chưa rõ, bạn hãy tìm hiểu Petya Ransomware tại đây

Ngay sau khi phát hiện ra EternalRocks, đã có nhiều cách diệt EternalRocks được hướng dẫn cho người dùng nào có thiết bị nhiễm virus EternalRocks, bạn cũng nên tham khảo các cách diệt EternalRocks để trang bị cho mình những kiến thức bổ ích nhất về cách phòng tránh loại virus này.

Một nhà nghiên cứu bảo mật đã phát hiện một malware mới có khả năng tự lây lan bằng cách khai thác các lỗ hổng trong giao thức chia sẻ file SMB trên hệ điều hành Windows. Malware này có tên là Eternal Rocks, không giống Ransomware WannaCry - EternalRocks chỉ sử dụng 2 công cụ hack ăn cắp từ NSA (Cơ quan An ninh Nội địa Mỹ), loại malware EternalRocks khai thác tất cả 7 công cụ.

eternalrocks

Tuần trước, người dùng đã được cảnh báo về việc có nhiều nhóm hacker khai thác các công cụ hack ăn cắp từ NSA và tấn công người dùng. Cụ thể là cuộc tấn công Ransomware WannaCry tuy nhiên hầu hết cuộc tấn công này chỉ sử dụng 2 công cụ là EternalBlueDoublePulsar.

Theo trang TheHackerNew, Miroslav Stampar - một nhà nghiên cứu bảo mật đã tạo ra công cụ “sqlmap” nổi tiếng và bây giờ là thành viên của CERT của chính phủ Croatia đã phát hiện ra một loại malware mới có tên gọi là Eternal Rocks, nguy hiểm hơn WannaCry nhiều lần, nếu như đã có nhiều biện pháp phòng tránh WannaCry thì hiện chưa có giải pháp nào để chống lại Eternal Rocks. Vậy, , mã độc còn được cho là nguy hiểm hơn WannaCry gấp nhiều lần như thế nào? liệu có giống với cách phòng tránh WannaCry hay không?

EternalRocks là gì?

Không giống như WannaCry, Eternal Rock được thiết kế để hoạt động bí mật, đảm bảo rằng nó không bị phát hiện bởi các chương trình, phần mềm diệt virus trên hệ thống bị tấn công.

Stampar đã phát hiện ra EternalRock sau khi malware này nhiễm trên SMB honeypot của ông.

7 công cụ mà EternalRocks khai thác và sử dụng, bao gồm

1. EternalBlue - công cụ khai thác SMBv1.

2. EternalRomance - công cụ khai thác SMBv1.

3. EternalChampion - công cụ khai thác SMBv2.

4. EternalSynergy - công cụ khai thác SMBv3.

5. SMBTouch - công cụ trinh sát SMB .

6. ArchTouch - công cụ trinh sát SMB.

DoublePulsar - Backdoor TrojanSMBTouchArchTouch là các công cụ trinh sát SMB, được thiết kế để quét các cổng SMB mở trên internet công cộng.

Trong khi đó EternalBlue, EternalChampion, EternalSynergy và EternalRomance là các lỗ hổng của SMB, được thiết kế để thỏa hiệp các máy tính Windows dễ bị tấn công.

Và DoublePulsar được sử dụng để lây lan từ một máy tính bị ảnh hưởng đến các máy khác dễ bị tấn công trên cùng một mạng.

Stampar đã phát hiện ra rằng EternalRocks cải trang thành WannaCry để đánh lừa các nhà nghiên cứu bảo mật, nhưng thay vì thả ransomware, Eternal Rocks có quyền kiểm soát trái phép trên máy tính bị ảnh hưởng để khởi động các cuộc tấn công không gian mạng trong tương lai.

Cách thức tấn công của EternalRocks

Quá trình cài đặt EternalRocks diễn ra trong 2 giai đoạn.

Trong giai đoạn đầu tiên, Eternal Rock tải xuống trình duyệt Tor Browser trên các máy tính bị ảnh hưởng, sau sử dụng để kết nối với máy chủ điều khiển và kiểm soát (C&C) nằm trên mạng Tor trên Dark Web.

"Giai đoạn đầu tiên của malware UpdateInstaller.exe tải các thành phần cần thiết .NET (cho các giai đoạn sau), TaskScheduler SharpZLib từ Internet, bỏ qua các thành phần như svchost.exe taskhost.exe ", Stampar nói.

Theo Stampar, giai đoạn thứ hai diễn ra sau 24 giờ để tránh các kỹ thuật sandboxing, và không thể phát hiện được sự lây nhiễm của sâu virus.

Sau 24 giờ, Eternal Rock hồi đáp máy chủ C&C, sử dụng 7 công cụ trên để tấn công và điều khiển máy tính của bạn.

"Thành phần svchost.exe được sử dụng để tải, giải nén và chạy Tor từ archive.torproject.org cùng với C&C (ubgdgno5eswkhmpy.onion) yêu cầu thực hiện thêm các hướng dẫn khác (chẳng hạn như cài đặt các thành phần mới)", Stampar nói thêm.

Tất cả 7 lỗ hổng SMB được tải xuống máy tính bị nhiễm. Sau đó Eternal Rock quét trên internet các cổng SMB mở để lây lan sang các hệ thống dễ bị tấn công khác.

Cách phòng tránh EternalRock

Hiện tại, vẫn chưa có cách phòng tránh Eternal Rocks một cách hiệu quả. Nhưng trước hết, để giảm thiếu tối đa nguy cơ lây nhiễm từ những mã độc như WannaCry, EternalRocks thì bạn nên thực hiện theo:

1. Lựa chọn 1 trong 5 cách ngăn chặn WannaCry mà Taimienphi đã giới thiệu trong seri hướng dẫn phòng tránh virus WannaCry

2. Tiến hành Update Windows ( bao gồm bản vá trước đó của giao thức SMB)

- Tải phiên bản vá lỗi cho Windows XP Update SP2 64bit
- Tải phiên bản vá lỗi cho Windows XP Update SP3 32bit
- Tải phiên bản vá lỗi cho Windows XP Update SP3 Embedded 32bit

- Tải phiên bản vá lỗi cho Windows 7 Update 64bit
- Tải phiên bản vá lỗi cho Windows 7 Update 32bit

- Tải phiên bản vá lỗi cho Windows 8 Update 64bit
- Tải phiên bản vá lỗi cho Windows 8 Update 32bit

- Tải phiên bản vá lỗi cho Windows Server 2003 Update SP2 64bit
- Tải phiên bản vá lỗi cho Windows Server 2003 Update SP2 32bit

http://thuthuat.taimienphi.vn/eternalrocks-la-gi-cach-phong-tranh-eternalrock-24067n.aspx
Hi vọng các chuyên gia hàng đầu sẽ có cách phòng tránh Eternal Rock trong thời gian sớm nhất

0