15 49.0138 8.38624 1 0 4000 1 https://yswiki.org 300 true 0
theme-sticky-logo-alt

WannaCry là gì Ví dụ về các cuộc tấn công ransomware

0 Comments

WannaCry là một ransomware lây lan bằng cách khai thác lỗ hổng trong giao thức Windows Server Message Block (SMB). SMB cho phép giao tiếp giữa các máy Windows trên mạng và việc triển khai của Microsoft có thể bị lừa sử dụng các gói được chế tạo đặc biệt để thực thi mã của kẻ tấn công.

WannaCry Ransomware là gì

WannaCry có bốn thành phần:

Dropper DoublePulsar, một chương trình độc lập chiết xuất các thành phần khác

Một ứng dụng mã hóa và giải mã thông tin

Tài liệu chứa khóa mã hóa

Bản sao của Tor, một chương trình mã nguồn mở cho phép bạn giao tiếp ẩn danh

Tắt công tắc

Ngay cả khi máy tính bị nhiễm, WannaCry không nhất thiết phải bắt đầu mã hóa tài liệu. Đầu tiên nó cố gắng truy cập vào URL dài, vô nghĩa. Trong trường hợp anh ta có thể truy cập vào miền này, WannaCry sẽ tắt. Đây được gọi là công tắc tiêu diệt WannaCry.

>>> Tìm hiểu chi tiết: Ransomware Wannacry là gì? Cơ chế làm việc của nó ra sao

Một số nhà nghiên cứu tin rằng chức năng này là một cách để những người tạo phần mềm độc hại hủy bỏ cuộc tấn công WannaCry. Những người khác tin rằng đây là một nỗ lực để ngăn các nhà nghiên cứu khởi chạy phần mềm độc hại và đánh giá nó trong môi trường hộp cát. Dù lý do là gì, công tắc tiêu diệt đã được các nhà chức trách sử dụng để làm chậm sự lây lan của WannaCry.

Ví dụ về các cuộc tấn công WannaCry

Phần mềm tống tiền WannaCry bùng nổ vào năm 2017, lây nhiễm trên 230.000 máy tính trên toàn thế giới và gây thiệt hại hàng tỷ đô la. Các làn sóng ransomware bổ sung đã được phát hiện trong năm 2018. Dưới đây là hai ví dụ về các ngành bị ảnh hưởng nặng nề bởi cuộc tấn công.

Tổ chức y tế

Lĩnh vực chăm sóc sức khỏe đã bị ảnh hưởng tiêu cực bởi WannaCry do việc sử dụng rộng rãi máy tính Windows của nó, nhiều trong số đó đã lỗi thời và phổ biến. Kết quả của cuộc tấn công, nhiều hệ thống quan trọng không khả dụng, dẫn đến các biện pháp cực đoan như đóng cửa phòng cấp cứu và cách ly các thiết bị y tế quan trọng khỏi hệ thống mạng. Các thiết bị như MRIS, được sử dụng để theo dõi thời gian, cứu mạng khách hàng và chẩn đoán, đã được chứng minh là không hiệu quả.

Các nhà sản xuất lớn

Boeing của Hoa Kỳ sử dụng một số lượng lớn các máy Windows, nhiều trong số đó sử dụng các phiên bản hệ điều hành cũ hơn, dễ bị tấn công. Boeing đã bị bắn hạ bởi WannaCry vào năm 2018 và tuyên bố tình trạng khủng hoảng toàn công ty, khiến tất cả các VP điều hành cuộc khủng hoảng. Cuối cùng, WannaCry chỉ ảnh hưởng đến một số máy và không gây thiệt hại đáng kể.

Cố vấn an ninh Issuance Infosec nói với truyền thông rằng họ có thông tin bí mật về ba nhà sản xuất lớn khác ở Mỹ đã bị ảnh hưởng bởi các cuộc tấn công WannaCry và, không giống như Boeing, đã bị gián đoạn sản xuất tốn kém.

WannaCry lây lan như thế nào?

WannaCry được phân phối bởi EternalBlue, một phương thức khai thác zero-day sử dụng phiên bản cũ hơn của giao thức Server Block Message (SMB). Vụ khai thác này được cho là đã bị Cơ quan An ninh Quốc gia Hoa Kỳ (NSA) phát hiện và sau đó được một nhóm hacker có tên là Shadow Brokers thu được. Họ đã xuất bản một khai thác ẩn trong một bài đăng trên Medium vào ngày 8 tháng 4 năm 2017.

Microsoft đã phát hiện ra lỗ hổng này một tháng trước đó và đăng bản vá, nhưng nhiều hệ thống vẫn mở. WannaCry bắt đầu lây lan nhanh chóng vào ngày 12 tháng 5 năm 2017.

Sâu WannaCry sử dụng một cơ chế vận chuyển có thể tự lây lan mà không cần sự can thiệp của người dùng, không giống như hầu hết các mối đe dọa ransomware lây lan bằng kỹ thuật xã hội.

Mã vận chuyển quét các hệ thống dễ bị tấn công, sau đó cài đặt các ống nhỏ giọt DoublePulsar và chạy một bản sao của chính nó. Các nhà nghiên cứu đã phát hiện ra rằng WannaCry có thể sử dụng DoublePulsar trên các máy trước đó đã bị nhiễm ống nhỏ giọt này, cho phép nó lây lan nhanh hơn.

Giải phẫu một cuộc tấn công mạng WannaCry

WannaCry ransomware notice displayed after it encrypts files on a machine

WannaCry thực hiện các bước sau ngay khi nó lây nhiễm vào máy tính Windows:

  • Khi được thực thi, WannaCry sẽ kiểm tra xem miền kill switch có khả dụng hay không.
  • Nếu không có, ransomware không mã hóa dữ liệu trên máy tính mà vẫn tìm cách lây lan sang các máy tính khác trên Internet và qua mạng cục bộ.
  • Khi xuất hiện, WannaCry mã hóa tất cả dữ liệu trên máy.
  • Nạn nhân được yêu cầu trả 300 đô la bitcoin trong ba ngày hoặc 600 đô la trong một tuần. Các chuyên gia bảo mật khuyên không nên trả tiền chuộc: trong hầu hết các trường hợp, những kẻ tấn công WannaCry không giải mã dữ liệu mà thậm chí có thể làm như vậy về mặt kỹ thuật.
  • Thông báo ransomware WannaCry hiển thị sau khi mã hóa các tập tin trên máy

Máy tính bị nhiễm sẽ tìm kiếm các thiết bị chấp nhận lưu lượng trên các cổng TCP 135-139 hoặc thậm chí 445, cho biết rằng máy được cấu hình để chạy SMB.
Nó khởi tạo kết nối SMBv1 và sử dụng cuộc tấn công tràn bộ đệm để xâm nhập hệ thống và cài đặt ransomware.
Bản vá lỗi WannaCry
Nếu bạn đang chạy các phiên bản Microsoft Windows cũ hơn, hãy đảm bảo rằng bạn đã cài đặt bản cập nhật bảo mật MS17-010 có sẵn tại URL này:

https://support.microsoft.com/en-us/help/4023262/how-to-verify-that-ms17-010-is-installed

Bản vá bảo mật này bảo vệ các máy Windows khỏi lỗ hổng EternalBlue. Nó có sẵn cho Windows Vista; Windows 7, 8.1, 10; và Windows Server 2008, 2008 R2, 2012 và 2016. Các phiên bản Windows và Windows Server mới hơn không dễ bị tấn công.

Giải pháp bảo vệ dữ liệu Imperva

Imperva File Security có thể phát hiện hoạt động của ransomware như cuộc tấn công Wannacry trước khi nó gây ra thiệt hại trên diện rộng bằng cách sử dụng công nghệ giám sát và đánh lừa dựa trên chính sách. Imperva phát hiện hành vi truy cập tệp đáng ngờ trong thời gian thực và cách ly người dùng bị nhiễm hoặc thiết bị có thể bị ảnh hưởng bởi ransomware. Nó cũng cung cấp dữ liệu có thể giúp các nhóm bảo mật điều tra và báo cáo các hoạt động của ransomware.

Ngoài ra, Imperva Imperva giám sát việc truy cập dữ liệu và các hoạt động của người dùng đặc quyền để xác định các đặc quyền quá mức, không phù hợp và không được sử dụng.

Ngoài việc phát hiện và ngăn chặn ransomware, giải pháp bảo mật dữ liệu của Imperva bảo vệ dữ liệu của bạn mọi lúc mọi nơi – tại cơ sở, trong đám mây và trong các môi trường kết hợp. Nó cũng cung cấp cho các nhóm bảo mật và CNTT khả năng hiển thị đầy đủ về cách dữ liệu được truy cập, sử dụng và di chuyển trong tổ chức.

Phương pháp toàn diện của chúng tôi dựa trên nhiều lớp bảo vệ, bao gồm:

  • Tường lửa cơ sở dữ liệu chặn SQL injection và các mối đe dọa khác trong khi đánh giá các lỗ hổng đã biết.
  • Việc che giấu dữ liệu và mã hóa làm xáo trộn dữ liệu nhạy cảm, vì vậy nó vô ích đối với tác nhân xấu, ngay cả khi bằng cách nào đó được trích xuất.
  • Ngăn chặn mất dữ liệu (DLP) – Xác thực dữ liệu đang chuyển động, ở trạng thái nghỉ trên máy chủ, trong bộ nhớ đám mây hoặc trên thiết bị điểm cuối.
  • Phân tích hành vi người dùng – Đặt đường cơ sở cho hành vi truy cập dữ liệu, sử dụng công nghệ máy học để phát hiện và cảnh báo về hoạt động bất thường và tiềm ẩn rủi ro.
  • Việc khám phá và phân loại dữ liệu cho biết vị trí, khối lượng và bối cảnh của dữ liệu trong nhà và trên đám mây.
  • Giám sát hoạt động cơ sở dữ liệu – Theo dõi cơ sở dữ liệu quan hệ, kho dữ liệu, dữ liệu lớn và máy tính lớn để tạo cảnh báo thời gian thực cho các vi phạm chính sách.
  • Mức độ ưu tiên của cảnh báo – Imperva sử dụng công nghệ máy học và nhân tạo để nghiên cứu luồng các sự kiện bảo mật và ưu tiên những sự kiện quan trọng nhất.

Mục tiêu học tập

Hiểu kiến ​​trúc WannaCry

Xem các ví dụ về các cuộc tấn công ransomware WannaCry

Cách thức hoạt động của cuộc tấn công mạng WannaCry

Nhận bản vá bảo mật Windows ở đâu

Tìm hiểu về bảo vệ chống ransomware Imperva

Previous

0 Comments

Leave a Reply