Quick browsing

Home > Giáo dục > Internet > Ngăn chặn kiểu tấn công mạng mới có từ hôm 27/6/2017

Ngăn chặn kiểu tấn công mạng mới có từ hôm 27/6/2017 Ngăn chặn kiểu tấn công mạng mới có từ hôm 27/6/2017

Friday 30 June 2017

Kênh CNN vừa đưa tin: trang hacker WikiLeaks tiết lộ rằng các công cụ tấn công mạng được cho là thuộc Cục An ninh Quốc gia Mỹ (NSA) đã được sử dụng trong cuộc tấn công mạng quy mô lớn hôm 27/6/2017. Mặt khác ta đã có thể ngăn chặn được kiểu tấn công này.

WikiLeaks tiết lộ gì?

Hôm 27/6, một vụ tấn công mạng lớn sử dụng mã độc Petya nhằm vào các công ty năng lượng, viễn thông và tài chính của Nga và Ukraine, sau đó đã bị phát tán trên khắp thế giới. Hồi tháng 5/2017, hơn 150 quốc gia đã bị mã độc WannaCry tấn công.

Theo kênh CNN: "Các nhà nghiên cứu cho rằng vụ tấn công hôm 27/6 sử dụng một lỗ hổng của hệ điều hành Windows với tên gọi EternalBlue để tấn công mạng lưới các công ty. Mã độc WannaCry đã tận dụng khai thác lỗ hổng EternalBlue, và được biết tới như một trong các công cụ tấn công mạng thuộc về NSA."

Trước đó, trang WikiLeaks đã cung cấp dữ liệu về EternalBlue và các chương trình tấn công mạng khác, cho rằng các chương trình này do NSA (Cục An ninh Quốc gia Mỹ) phát triển và được các cơ quan đặc biệt của Mỹ sử dụng.

Cách ngăn chặn tấn công

Cục An toàn Thông tin, Bộ Thông tin và Truyền thông ngày 28/6 đã ra công văn số 338/CATTT-TĐQLGS cảnh báo biến thể mới của mã độc tống tiền Ransomware (mã độc Petya) gửi các đơn vị chuyên trách công nghệ của các bộ, Sở Thông tin và Truyền thông của các địa phương, tập đoàn kinh tế…

Công văn nêu rõ mã độc tống tiền, mã độc mã hóa dữ liệu (Ransomware) từ khi xuất hiện đã gây thiệt hại không nhỏ cho nhiều tổ chức, doanh nghiệp. Sau đợt tấn công hồi tháng Năm của WannaCry, ngày 27/6 mã độc Ransomware lại tiếp tục gây ảnh hưởng tới nhiều nước trên thế giới.

Biến thế mã độc lần này có tên Petya (còn gọi là Petwrap) không chỉ khai thác và lây lan thông qua lỗ hổng MS17-010 mà còn có thể lây nhiễm vào máy tính đã vá lỗ hổng này thông qua công cụ WMIC (công cụ có sẵn trong Windows cho phép truy cập và thiết lập cấu hình trên các máy Windows); công cụ PSEXE (công cụ cho phép truy cập vào máy tính Windows từ xa mà người dùng không biết thông qua dịch vụ SMB) và lỗ hổng CVE-2017-0199 (lỗ hổng trong Microsoft Office/WordPad cho phép tin tặc chiếm quyền điều khiển hệ thống).

Vẫn theo Cục An toàn thông tin, Petya có hoạt động rất khác so với các biến thể Ransomware khác. Petya khi lây nhiễm vào máy tính sẽ không mã hóa từng tập tin, mà thực hiện mã hóa Bảng File (Master File Table – MFT, chứa thông tin về tất cả các tập tin và thư mục trong phân vùng) và thay thế Master Boot Record của máy tính bằng tập tin độc hại để hiển thị thông tin đòi tiền chuộc. Do vậy máy tính người dùng sẽ không thể khởi động được khi bị nhiễm mã độc này.

Một số hòm thư điện tử dùng để phát tán mã độc Petya là wowsmith123456@posteo.net, iva76y3pr@outlook.com, carmellar4hegp@outlook.com, amanda44i8sq@outlook.com. Khi lây nhiễm máy tính có kết nối mạng đến một số địa chỉ: 185.165.29.78; 84.200.16.242; 111.90.139.247; 95.141.115.108.

Để ngăn chặn, Cục An toàn thông tin khuyến nghị các cơ quan, tổ chức kiểm tra và bảo đảm các máy tính trong hệ thống mạng đã vá các bản vá bảo mật, đặc biệt là MS17-010, CVE 2017-0199; Chặn toàn bộ kết nối liên quan đến dịch vụ SMB (445/137/138/139) từ ngoài Internet; Vô hiệu hóa WMIC (Windows Management Instrumentation Command-line); Không truy cập vào các liên kết lạ, cảnh giác cao khi mở các tập tin đính kèm trong thư điện tử; Sao lưu các dữ liệu quan trọng thường xuyên vào các thiết bị lưu trữ riêng biệt; Cập nhật phần mềm diệt virus.

Bên cạnh đó, cần tắt dịch vụ SMB trên tất cả cả các máy trong mạng LAN (nếu không cần thiết); Tạo tệp tin "C:\Windows\perfc" để ngăn ngừa nhiễm ransomware. Đây là tập tin mã độc kiểm tra trước thực hiện các hành vi độc hại trên máy tính.

(Theo VNP, NCC)