Danh sách các hệ điều hành của máy trạm bị ảnh hưởng
Windows Vista, Windows 7, Windows 8
Danh sách các hệ điều hành của máy chủ bị ảnh hưởng
Windows Server 2003, Windows Server 2008, Windows Server 2008 R2, Windows Server 2012
Nguyên nhân: Các máy tính trên bị lây nhiễm loại mã độc mới Win32/Aybo.B và được hãng Microsoft xếp ở mức lây nhiễm “rất cao”
Nguồn gốc: Mã độc khai thác lỗ hổng liên quan đến dịch vụ SMB trên hệ điều hành Windows, lây lan qua cổng 445 trên mạng ngang hàng. Sau khi lây nhiễm, mã độc mở cổng hậu kết nối ra máy chủ bên ngoài Internet và cài cắm các mã độc khác.
Phương thức lây nhiễm:
Thông qua một máy bị lây nhiễm (qua nhiều môi trường khác nhau như mở file có chứa mã độc qua email; sử dụng phần mềm không rõ nguồn gốc, qua USB…). Máy chứa mã độc sẽ khai thác lỗ hổng SMB chưa được khắc phục trên các máy chạy Windows trong hệ thống mạng của đơn vị. Tiến hành lây lan mã độc đến các máy này. Sau khi lây nhiễm mã độc, file thực thi sẽ tiến hành thực hiện các thao tác sau:
- Tiến hành quét và kết nối toàn bộ các thư mục chia sẽ trong mạng nội bộ
- Tạo các chương trình phục vụ quá trình lây nhiễm
- Tạo các file kịch bản và các tiến trình tự động khởi động cùng Windows
- Tạo các luật trên firewall để cho phép mọi kết nối theo chiều từ trong và ngoài Internet vào máy tính
- Tạo luật chặn theo chiều từ ngoài vào máy tính theo cổng 445 để ngăn chặn các mã độc khác khai thác theo cổng này.
- Xóa/ khóa các tài khoản quản trị trên máy tính (Administrator/ System/ IISUSER_ACCOUNTXX): nhằm mục đích chiếm quyền quản trị đối với những máy sử dụng tài khoản này để đăng nhập.
- Thiết lập hành vi cho phép download và thực thi các chương trình của hacker vượt qua cơ chế kiểm soát của Windows.
- Mở các cổng hậu và kết nối ra máy chủ bên ngoài để tải các mã độc khác vào máy bị lây nhiễm.
Cách thức phát hiện:
- Kiểm tra trên phân vùng cài đặt hệ điều hành (thường là ổ C:) có tồn tại file thực thi mã độc: II.exe
- Kiểm tra trên các đường dẫn có các file do mã độc tạo ra hay không:
C:\WINDOWS\Registration\R000000000007.clb
C:\DOCUME~1\<USER>~1\LOCALS~1\Temp\regdrv.exe
C:\USERS\<USER>\APPDATA\LOCAL\TEMP\REGDRV.EXE
C:\WINDOWS\registration\regdrv.exe
C:\WINDOWS\system32\net1.exe
C:\WINDOWS\WindowsShell.Manifest
C:\DOCUME~1\<USER>~1\LOCALS~1\Temp\regdrv.exe:Zone.Identifier
- Kiểm tra trên firewall của Windows có luật sau được thêm vào: Security Fix
- Kiểm tra các tài khoản người dùng trên Windows đã bị khóa hoặc xóa chưa:
Administrator/ System/ IISUSER_ACCOUNTXX
- Kiểm tra tác vụ lập lịch chạy tự động trên Windows, bằng cách trên RUN à gõ msconfig à Kiểm tra trong tab Startup có dịch vụ chứa đường dẫn: C:\WINDOWS\registration\regdrv.exe" /f /RU "SYSTEM"
- Kiểm tra kết nối ra ngoài Internet thông qua công cụ TCPView:
http://etobylovjanvare.ru/0942c3aad278ce5ea571a61712b4506a.php
http://93.174.91.3/classes/s.php?query=WXpKV2VtTXliSFppYm5kM1prUlJORTlFUlQwPQ==
etobylovjanvare.ru
Địa chỉ IP:
46.36.36.116:80
93.174.91.3:80
- Kiểm tra các tiến trình đang chạy bằng công cụ Process Explorer
Xem có tiến trình nào có tên: regdrv.exe
Biện pháp khắc phục:
1. Ngắt kết nối mạng trên máy bị lây nhiễm
2. Sử dụng các công cụ phát hiện và diệt mã độc sau để quét trên các máy bị lây nhiễm (download các công cụ này trên máy tính chưa bị lây nhiễm vào USB)
- Malwarebytes bản Free tại địa chỉ sau:
https://www.malwarebytes.com/
- BKAV bản Home tại địa chỉ sau:
bkav.com.vn
3. Sau khi quét và loại bỏ các mã độc trên, tiến hành cập nhật lại bản vá bảo mật cho hệ điều hành theo hướng dẫn sau:
3.1. Kiểm tra phiên bản Windows đang sử dụng
Cách 1: Vào Run, gõ câu lệnh “winver” để xem phiên bản Windows và Service Park đi kèm.
Cách 2: Click chuột phải vào My Computer, chọn properties
Lưu ý với phiên bản Windows, xem phiên bản đang chạy là 32bit hay 64bit để xác định bản vá tương ứng
3.2. Kiểm tra đã cập nhật bản vá tương ứng với ký hiệu của Microsoft chưa?
Ví dụ: Với bản vá cho lỗ hổng có ký hiệu MS17-010. Truy cập vào link sau để xem mã bản vá tương ứng với phiên bản Hệ điều hành:
https://technet.microsoft.com/en-us/library/security/ms17-010.aspx
Kiểm tra đã cập nhật bản vá này chưa:
Chạy “cmd” gõ câu lệnh sau để kiểm tra:
wmic qfe get hotfixid | find "KBxxxx"
Thay đoạn KBxxx bằng mã như hình trên. Ví dụ như:
wmic qfe get hotfixid | find "KB4012598"
Kết quả: Nếu đã cài thì báo như sau:
3.3. Tiến hành cập nhật các bản vá tiếp theo:
| EmeraldThread (MS 10-06) |
https://technet.microsoft.com/en-us/library/security/ms10-106.aspx |
Bản vá dành cho ứng dụng: Microsoft Exchange Server 2007 Service Pack 2 for x64-based Systems |
| EtemalChampion (CVE-2017-0146 và CVE-2017-0147) |
https://technet.microsoft.com/en-us/library/security/ms17-010.aspx |
02 bản CVE này đã được cập nhật trong bản MS17-010 |
| MS14-068 |
https://technet.microsoft.com/en-us/library/security/ms14-068.aspx |
|
| MS17-010 |
https://technet.microsoft.com/en-us/library/security/ms17-010.aspx |
|
| MS09-050 |
https://technet.microsoft.com/en-us/library/security/ms09-050.aspx |
|
| MS08-067 |
https://technet.microsoft.com/en-us/library/security/ms08-067.aspx |
|
Tác giả bài viết: admin
Nguồn tin: ict.thanhhoa.gov.vn
