WhiteHat News #ID:2112
VIP Members
-
16/06/2015
-
83
-
672 bài viết
Tin tặc lợi dụng dịch vụ hỗ trợ của Windows tái lây nhiễm mã độc
Những kẻ tấn công đang lợi dụng dịch vụ hỗ trợ Windows Update - Windows Background Intelligent Transfer Service (BITS) để tái nhiễm mã độc cho các máy tính đã được làm sạch bằng phần mềm diệt virus.
Kỹ thuật này được phát hiện bởi các nhà nghiên cứu vào tháng trước khi đang xử lý một hiện tượng mã độc cho một khách hàng. Phần mềm diệt virus cài đặt trên máy tính bị xâm phạm đã phát hiện và xóa một chương trình mã độc, nhưng máy tính này vẫn chỉ ra các dấu hiệu hoạt động độc hại ở mức độ mạng.
Tiếp tục điều tra, các nhà nghiên cứu đã tìm thấy hai công việc (job) giả mạo được đăng ký trong BITS, một dịch vụ của Windows được sử dụng bởi hệ điều hành và các ứng dụng khác để tải về các cập nhật và chuyển các tệp tin. Hai công việc "độc hại" này định kỳ tải và cố gắng cài đặt lại các mã độc đã bị diệt.
Mặc dù không phổ biến, BITS đã bị lợi dụng để tấn công từ năm 2007. Ưu điểm của việc tiếp cận này nằm ở chỗ BITS là một dịch vụ đáng tin cậy và không bị chặn bởi tưởng lửa của máy tính.
Tuy nhiên, một Trojan mới – một "thành viên" trong gia đình mã độc DNSChanger được tìm thấy cũng đã lợi dụng một tính năng của BITS để thực thi trên tệp tin được tải về. Việc này loại bỏ sự cần thiết phải tồn tại sẵn mã độc trên hệ thống.
Sau khi hoàn tất việc chuyển giao, công việc giả mạo thực thi một lệnh như là một hành động thông báo của BITS. Lệnh này tạo ra và tung ra một kịch bản hàng hoạt gọi là x.bat, để hoàn tất công việc của BITS, kiểm tra nếu tệp tin đã được lưu và tải về bộ nhớ máy tính như một DLL.
Bằng kỹ thuật này, kẻ tấn công đã tạo ra các nhiệm vụ BITS độc lập, tự tải về và tự thực thi mà vẫn tiếp tục ngay cả khi mã độc ban đầu đã bị loại bỏ. Các nhà nghiên cứu của SecureWorks cho biết.
Một vấn đề khác là trong khi việc ghi log của Windows chỉ ra các thông tin về việc chuyển giao độc hại của BITS, các thông tin truy cập về các tác vụ chờ xử lý bị hạn chế. Các nhà nghiên cứu đã sử dụng các công cụ khác để phân tích cú pháp cơ sở dữ liệu các công việc của BITS để xem chi tiết đầy đủ.
Trong trường hợp mà SecureWorks điều tra, máy tính đã bị mã độc vào ngày 4 tháng 3, được phần mềm diệt virus làm sạch sau đó 10 ngày nhưng công việc của BITS vẫn được duy trì cho đến khi bị phát hiện vào tháng 5. Điều này cho thấy các công việc BITS hết hạn sau 90 ngày vẫn có khả năng được gia hạn.
Các nhà nghiên cứu cho biết các công ty nên xem xét việc liệt kê các tác vụ BITS đang hoạt động trên máy tính mà tiếp tục tạo ra các cảnh báo an ninh trong mạng và máy chủ sau khi khắc phục mã độc. Có một cách để làm việc này là thực thi quyền từ cmd.exe với đặc quyền cao bằng việc gõ: bitsadmin /list /allusers /verbose.
Theo ComputerWorld
Kỹ thuật này được phát hiện bởi các nhà nghiên cứu vào tháng trước khi đang xử lý một hiện tượng mã độc cho một khách hàng. Phần mềm diệt virus cài đặt trên máy tính bị xâm phạm đã phát hiện và xóa một chương trình mã độc, nhưng máy tính này vẫn chỉ ra các dấu hiệu hoạt động độc hại ở mức độ mạng.
Tiếp tục điều tra, các nhà nghiên cứu đã tìm thấy hai công việc (job) giả mạo được đăng ký trong BITS, một dịch vụ của Windows được sử dụng bởi hệ điều hành và các ứng dụng khác để tải về các cập nhật và chuyển các tệp tin. Hai công việc "độc hại" này định kỳ tải và cố gắng cài đặt lại các mã độc đã bị diệt.
Mặc dù không phổ biến, BITS đã bị lợi dụng để tấn công từ năm 2007. Ưu điểm của việc tiếp cận này nằm ở chỗ BITS là một dịch vụ đáng tin cậy và không bị chặn bởi tưởng lửa của máy tính.
Tuy nhiên, một Trojan mới – một "thành viên" trong gia đình mã độc DNSChanger được tìm thấy cũng đã lợi dụng một tính năng của BITS để thực thi trên tệp tin được tải về. Việc này loại bỏ sự cần thiết phải tồn tại sẵn mã độc trên hệ thống.
Sau khi hoàn tất việc chuyển giao, công việc giả mạo thực thi một lệnh như là một hành động thông báo của BITS. Lệnh này tạo ra và tung ra một kịch bản hàng hoạt gọi là x.bat, để hoàn tất công việc của BITS, kiểm tra nếu tệp tin đã được lưu và tải về bộ nhớ máy tính như một DLL.
Bằng kỹ thuật này, kẻ tấn công đã tạo ra các nhiệm vụ BITS độc lập, tự tải về và tự thực thi mà vẫn tiếp tục ngay cả khi mã độc ban đầu đã bị loại bỏ. Các nhà nghiên cứu của SecureWorks cho biết.
Một vấn đề khác là trong khi việc ghi log của Windows chỉ ra các thông tin về việc chuyển giao độc hại của BITS, các thông tin truy cập về các tác vụ chờ xử lý bị hạn chế. Các nhà nghiên cứu đã sử dụng các công cụ khác để phân tích cú pháp cơ sở dữ liệu các công việc của BITS để xem chi tiết đầy đủ.
Trong trường hợp mà SecureWorks điều tra, máy tính đã bị mã độc vào ngày 4 tháng 3, được phần mềm diệt virus làm sạch sau đó 10 ngày nhưng công việc của BITS vẫn được duy trì cho đến khi bị phát hiện vào tháng 5. Điều này cho thấy các công việc BITS hết hạn sau 90 ngày vẫn có khả năng được gia hạn.
Các nhà nghiên cứu cho biết các công ty nên xem xét việc liệt kê các tác vụ BITS đang hoạt động trên máy tính mà tiếp tục tạo ra các cảnh báo an ninh trong mạng và máy chủ sau khi khắc phục mã độc. Có một cách để làm việc này là thực thi quyền từ cmd.exe với đặc quyền cao bằng việc gõ: bitsadmin /list /allusers /verbose.
Theo ComputerWorld