Mã độc WannaCry
- 19/05/2017
- Posted by:daotaonganhan
- Category:Cuộc sống
Không có phản hồi
WannaCry bắt đầu tấn công ở diện rộng trên toàn thế giới vào ngày 13/5/2017. Có bằng chứng cho thấy nó bắt đầu lây nhiễm ở Châu Á lúc 7:44. Khời đầu sự lây nhiễm từ lỗ hổng SMB chớ không phải từ phishing email như các Ransomware khác.
1. Tên gọi WannaCry.
“Wanna” là tiếng lóng của người Mỹ về động từ “want to”. Như vậy “Wanna Cry” là “Want to Cry” nghĩa tiếng Việt là “muốn khóc”. Chắc ý tin tặc muốn nói rằng khi bị mã độc này tấn công thì dữ liệu bị phá hư nên chủ nhân buồn muốn khóc. Mã độc này được xếp vào nhóm ransomware (tống tiền, tấn công và đòi tiền chuộc).
2. Cơ chế xâm nhập máy tính.
Các máy chạy hệ điều hành Windows cài đặt giao thức (phương thức truyền dữ liệu) SMB (Server Message Block protocol). Giao thức này có lỗ hổng để bên ngoài có thể xâm nhập vào máy nếu biết cách thâm nhập.
Cơ quan an ninh quốc gia của Mỹ NSA (U.S. National Security Agency) phát hiện lỗ hổng này và soạn 2 công cụ để xâm nhập vào máy tính để lấy thông tin của máy tính đối phương nhằm phục vu công tác tình báo. Hai công cụ đó là EternalBlue exploit và Double Pulsarbackdoor. Đây là 2 công cụ được NSA giữ bí mật và NSA cũng giữ bí mật về lỗ hổng, không thông báo cho công ty Microsoft biết vá.
Hai tháng trước đây Wikileaks đã tiết lộ 2 công cụ này nên tin tặc đã lấy được và âm thầm cài đặt 2 công cụ này vào máy tính trên các mạng cục bộ (local networks) và các mạng ở diện rộng (remote hosts) để làm gián điệp chờ tiếp ứng để làm theo lệnh của một mã độc khác. Đó là con WannaCry như chúng ta đã thấy.
3. Đặc điểm hoạt động.
Các mã độc tống tiền (Ransomware) thường tấn công máy tính bằng cách gởi mã độc kèm theo email (phishing email) được giả tên người gởi là người quen với người nhận. Khi người nhận nhấp chuột vào file đính kèm thì mã độc sẽ cài đặt vào máy tính.
Khi được lây nhiễm vào máy tính con WannaCry tìm kiếm lỗ hổng của SMB, dùng công cụ EternalBlue để chui vào lỗ hổng và dùng DoublePulsar để cài đặt và tự nhân bản.
Khi hoạt động mã độc tìm một địa chỉ website (gọi là “kill switch”). Đặc điểm của địa chỉ “kill switch” là chưa đăng ký vào danh mục website nên khi tìm đến địa chỉ đó thì hệ thống sẽ gởi tín hiệu “website không tồn tại”. Khi nhận được tin hiệu “website không tồn tại” thì WannaCry sẽ mã hóa toàn bộ dữ liệu trên máy tính rồi khai thác lỗ hổng SMB để tìm các máy tính trên intranet một cách ngẫu nhiên và lây nhiễm vào các máy đó. Sau đó tìm các máy tính cùng mạng cục bộ để lây nhiễm. Khi thực hiện xong quá trình lây nhiễm WannaCry sẽ hiện thông báo trên màn hình rằng các file dữ liệu đã bị mã hóa (không sử dụng được) và yêu cầu trả 300 USD dưới dạng bigcoin trong vòng 3 ngày hoặc 600 USD dưới dạng bitcoin trong vòng 7 ngày.
4. Diễn biến cuộc tấn công.
WannaCry bắt đầu tấn công ở diện rộng trên toàn thế giới vào ngày 13/5/2017. Có bằng chứng cho thấy nó bắt đầu lây nhiễm ở Châu Á lúc 7:44. Khời đầu sự lây nhiễm từ lỗ hổng SMB chớ không phải từ phishing email như các Ransomware khác.
5. Sự lây lan mã độc được chặng đứng do tình cờ.
Một thời gian ngắn sau khi WannaCry hoành hành một nhà nghiên cứu về bảo mật trẻ với tên blog là “MalwareTech” tìm hiểu các vết của mã độc để lại và nhận thấy luôn chuyển đến một địa chỉ website (kill switch) nhưng địa chỉ này chưa đăng ký. Anh ấy đã bỏ ra khoảng 10 USD đăng ký địa chỉ đó thì sự lây lan bị dừng lại. Do con WannaCry không nhận được tín hiệu “website không tồn tại” như mô tả ở mục 3.
Tuy nhiên, tin tặc đã điều chỉnh con WannaCry để nó có thể hoạt động mà không cần “kill switch”. Như vậy nguy cơ bị con WannaCry vẫn còn nếu máy tính của các bạn chưa vá lỗ hổng SMB do Microsoft cung cấp.
6. WannaCry có thể tấn công trên loại máy nào?
Mấy ngày nay trên mạng lan truyền nhiều tin nói rằng ngoài các máy chạy HĐH Windows con WannaCry cả trên máy PC chạy bằng HĐH Linux và cả trên các smartphone nền Android và iOS.
Hãy bình tĩnh suy xét, đừng tin vào lời hù dọa một cách vô căn cứ. Như mô tả ở mục 2. Con WannaCry chui vào lỗ hổng của protocol SMB để xâm nhập vào hệ thống máy tính. Chỉ có HĐH Windows mới có protocol nên con WannaCry mới chui vào được. Tuy nhiên, sau vụ WannaCry hãng Microsoft đã cung cấp bảng vá lỗ hổng đó. Máy nào đã cài đặt bản vá đó thì con WannaCry sẽ không thể xâm nhập được.
Các thiết bị chạy bằng các HĐH khác với Windows không có protocol SMB nên không có lỗ hổng do đó không nên sợ con WannaCry.
7. Từ đây sắp tới có còn nguy cơ bị tấn công như thế này nữa không?
Hãy đọc đoạn văn dưới đây rồi trao đổi tiếp.
“Tướng Keith Alexander – cựu giám đốc Cơ quan An ninh Mỹ (NSA) – cương quyết cho rằng việc giữ và khai thác các lỗ hổng phần mềm là cần thiết cho công tác tình báo”.
HĐH Windows là phần mềm thương mại nên mã nguồn bị giấu kín. Bản đưa bán đã được chuyển thành mã máy nên rất khó dò xét lỗ hổng, nếu có biết lỗ hổng thì người dùng không thể tự vả lỗ hổng được. Chỉ có các lập trình viên của công ty Microsoft nắm mã nguồn và lực lượng của họ có hạn nên HĐH của họ không thể không có lỗ hổng. Trong khi đó cơ quan an ninh Mỹ NSA tập hợp đội ngũ chuyên gia CNTT hùng hậu chuyên “soi mói” HĐH thì họ sẽ tìm thấy các lỗ hổng và tao công cụ để chui vào các máy chạy bằng HĐH Windows lấy thông tin để phục vụ công tác tình báo do đó họ sẽ không thông báo cho Microsoft để vá. Và sẽ có nguy cơ bị rò rỉ thông tin và tin tặc dùng thông này để tấn công như trường hợp con WannaCry.
Nói tóm lại: Khi nào còn sử dụng Windows thì không thể bảo đảm máy tính không bị virus tấn công.
Tài liệu tham khảo:
– WannaCry ransomware attack https://goo.gl/qPAQg3
– With the Success of WannaCry, Imitations are Quickly In Development https://goo.gl/TRBc3O
– Cựu giám đốc NSA cảnh báo còn nhiều vụ như WannaCry https://goo.gl/37uVFH
Copy từ FB thầy Đỗ Văn Xê CTU
Đánh giá post
Đánh giá post