WhiteHat News #ID:2112
VIP Members
-
16/06/2015
-
83
-
672 bài viết
Mã độc Shamoon tấn công trở lại Trung Đông
Một biến thể mới của Shamoon, mã độc đã tấn công ổ cứng của Saudi Aramco và nhiều công ty năng lượng khác trong năm 2012, vừa mới tấn công nhiều tổ chức ở Saudi Arabia trong một chiến dịch mới. Biến thể mới, gần giống với phiên bản được sử dụng trong các cuộc tấn công năm 2012, đã thay thế tin nhắn mà nó sử dụng trước đó – vốn là hình ảnh lá cờ Mỹ đang cháy – bằng ảnh của Alan Kurdi, một cậu bé 3 tuổi người tị nạn Syria bị chết đuối khi gia đình cậu cố đi từ Thổ Nhĩ Kỳ đến Hy Lạp.
Theo Bloomberg, điều tra số của các quan chức Saudi chỉ ra rằng cuộc tấn công được phát động từ Iran. Một số cơ quan chính phủ Saudi là mục tiêu bị tấn công.
Phiên bản mới của Shamoon còn được gọi là Disttrack. Hiện vẫn chưa rõ “dropper” của mã độc đã xâm nhập vào các mạng lưới mà nó tấn công bằng cách nào. Nhưng một khi đã vào được hệ thống Windows của nạn nhân, mã độc sẽ quyết định cài phiên bản mã độc 32-bit hay 64-bit. Theo Symantec, cuộc tấn công mới nhất của Shamoon được cấu hình để tự động dọn dẹp ổ đĩa máy tính bị lây nhiễm lúc 8:45 sáng giờ địa phương vào ngày 17/11.
Mã độc tự sử dụng RawDisk, một trình điều khiển phần mềm thương mại từ EldoS cho phép truy cập trực tiếp vào ổ đĩa của hệ thống bị lây nhiễm để ghi dữ liệu hoặc trong trường hợp này là ghi đè lên dữ liệu. Trình điều khiển tương tự cũng được sử dụng trong cuộc tấn công vào Sony Pictures năm 2014. Theo FireEye, trước khi bắt đầu, mã độc sẽ đặt đồng hồ hệ thống của máy tính bị nhiễm trở lại một ngày ngẫu nhiên trong tháng 8/2012 - có khả năng vượt qua mã trong trình điều khiển EldoS từ việc kiểm tra giấy phép hợp lệ.
Biến thể mới của Shamoon tìm cách phát tán trên mạng bằng cách bật tính năng chia sẻ tập tin và cố gắng để kết nối với các mạng chia sẻ tập tin phổ biến, và nó vô hiệu hóa kiểm soát truy cập người dùng đối với các phiên điều khiển từ xa bằng một thay đổi Windows Registry. Mã độc cố kết nối tới các ổ chia sẻ ADMIN$, C$Windows, D$Windows, và E$Windows trên hệ thống mục tiêu với quyền hiện tại của người dùng nội bộ trước. Nếu họ không có đủ quyền truy cập vào các ổ chia sẻ này, mã độc sẽ thử các thông tin đăng nhập bị đánh cắp - thông tin đã được mã hóa cứng vào mẫu của mã độc, cho thấy kẻ tấn công trước đó đã cố gắng thâm nhập vào các mạng mục tiêu và lấy được thông tin người dùng về quản trị tên miền Windows và các tài khoản cấp cao khác. Khi tìm thấy các ổ chia sẻ, mã độc sẽ tự sao chép vào thư mục Windows của hệ thống khác.
Trong khi các cuộc tấn công mã độc mới nhất đã bao gồm mã để liên lạc với một hệ thống C&C, những kẻ tấn công dường như đã vô hiệu hóa mã, để nó chỉ tới một máy chủ không tồn tại. Rõ ràng là không có mong muốn lấy cắp thông tin dù thông tin có thể đã bị đánh cắp trước khi Shamoon được kích hoạt, và việc dọn dẹp ổ đĩa chỉ là món quà chia tay của kẻ tấn công.
Theo Bloomberg, điều tra số của các quan chức Saudi chỉ ra rằng cuộc tấn công được phát động từ Iran. Một số cơ quan chính phủ Saudi là mục tiêu bị tấn công.
Phiên bản mới của Shamoon còn được gọi là Disttrack. Hiện vẫn chưa rõ “dropper” của mã độc đã xâm nhập vào các mạng lưới mà nó tấn công bằng cách nào. Nhưng một khi đã vào được hệ thống Windows của nạn nhân, mã độc sẽ quyết định cài phiên bản mã độc 32-bit hay 64-bit. Theo Symantec, cuộc tấn công mới nhất của Shamoon được cấu hình để tự động dọn dẹp ổ đĩa máy tính bị lây nhiễm lúc 8:45 sáng giờ địa phương vào ngày 17/11.
Mã độc tự sử dụng RawDisk, một trình điều khiển phần mềm thương mại từ EldoS cho phép truy cập trực tiếp vào ổ đĩa của hệ thống bị lây nhiễm để ghi dữ liệu hoặc trong trường hợp này là ghi đè lên dữ liệu. Trình điều khiển tương tự cũng được sử dụng trong cuộc tấn công vào Sony Pictures năm 2014. Theo FireEye, trước khi bắt đầu, mã độc sẽ đặt đồng hồ hệ thống của máy tính bị nhiễm trở lại một ngày ngẫu nhiên trong tháng 8/2012 - có khả năng vượt qua mã trong trình điều khiển EldoS từ việc kiểm tra giấy phép hợp lệ.
Biến thể mới của Shamoon tìm cách phát tán trên mạng bằng cách bật tính năng chia sẻ tập tin và cố gắng để kết nối với các mạng chia sẻ tập tin phổ biến, và nó vô hiệu hóa kiểm soát truy cập người dùng đối với các phiên điều khiển từ xa bằng một thay đổi Windows Registry. Mã độc cố kết nối tới các ổ chia sẻ ADMIN$, C$Windows, D$Windows, và E$Windows trên hệ thống mục tiêu với quyền hiện tại của người dùng nội bộ trước. Nếu họ không có đủ quyền truy cập vào các ổ chia sẻ này, mã độc sẽ thử các thông tin đăng nhập bị đánh cắp - thông tin đã được mã hóa cứng vào mẫu của mã độc, cho thấy kẻ tấn công trước đó đã cố gắng thâm nhập vào các mạng mục tiêu và lấy được thông tin người dùng về quản trị tên miền Windows và các tài khoản cấp cao khác. Khi tìm thấy các ổ chia sẻ, mã độc sẽ tự sao chép vào thư mục Windows của hệ thống khác.
Trong khi các cuộc tấn công mã độc mới nhất đã bao gồm mã để liên lạc với một hệ thống C&C, những kẻ tấn công dường như đã vô hiệu hóa mã, để nó chỉ tới một máy chủ không tồn tại. Rõ ràng là không có mong muốn lấy cắp thông tin dù thông tin có thể đã bị đánh cắp trước khi Shamoon được kích hoạt, và việc dọn dẹp ổ đĩa chỉ là món quà chia tay của kẻ tấn công.
Theo Ars Technica
Chỉnh sửa lần cuối bởi người điều hành: