Một loại Rootkit ‘tàng hình’ tân tiến và rất nguy hiểm

Rate this post

Trong suốt bốn năm theo dõi, từ thời khắc năm 2018 dành với tới nay thì những nhân viên cấp dưới bảo mật thông tin của Kaspersky vẫn không xác lập rõ ai/ tổ chức triển khai nào đứng đằng sau Rootkit Moriya thưa những những những những bạn xem qua xem qua xem qua xem qua xem qua xem qua xem qua xem qua xem qua xem qua.

tim-hieu-ve-rootkit-moriya (1)

Kaspersky đoán rằng, Moriya là một phần của chiến dịch tiến công mạng quá quá tăng thời thượng APT (Advanced Persistent Threat) tên là TunnelSnake được vận hành bởi tin tặc Trung Quốc.

TunnelSnake được dành với là từng tiến hóa thật nhiều về tích điện ẩn mình hoặc nói phương thức tiếp theo là tàng hình, đính kèm với nó là những công cụ tương hỗ tối tân, và nó được góp vốn đầu tư rất bài dòng nhằm mục tiêu xâm nhập vào những tổ chức triển khai lớn, đa vương quốc/đa vùng của Châu Á Thái Tỉnh Bình Dương và châu Phi để phá hoại và đánh cắp data.

#một. Rootkit Moriya thử thách hệ yếu tố hành Windows của Microsoft

tim-hieu-ve-rootkit-moriya (2)

thực đáng buồn là với những nỗ lực không ngừng nghỉ nghỉ của Microsoft trong việc thay thế đổi đổi hiệu năng hoặc bảo mật thông tin hệ yếu tố hành Windows trải qua phương thức update liên lục những tính năng new và mạnh mẽ và tự tin nhưng vẫn bị rootkit này qua mặt:

  • Driver Signature Enforcement nhằm mục tiêu ngăn ngừa thực thi code độc trong vùng kernel space, những driver bị sửa đổi/không tồn tại chữ ký số sẽ bị chặn.
  • Kernel Patch Protection (PatchGuard) nhằm mục tiêu ngăn ngừa việc những file/ ứng dụng khối khối mạng lưới hệ thống bị sửa đổi. Nếu mã độc nỗ lực cố gắng sửa đổi khối khối mạng lưới hệ thống thì lỗi screen Xanh (Blue Screen of Death) lịch sử một thời trên Windows sẽ xuất hiện ngay.
  • Tích hợp sâu ứng dụng bảo mật thông tin Windows Security vào khối khối mạng lưới hệ thống (từ Firewall dành với tới tích điện diệt virus).

tim-hieu-ve-rootkit-moriya (3)

những những những những bạn xem qua xem qua xem qua xem qua xem qua xem qua xem qua xem qua xem qua xem qua nên nhớ, Moriya là rootkit nên một trong lúc xâm nhập được vào khối khối mạng lưới hệ thống thì hầu không vẫn vẫn mọi cơ chế bảo mật thông tin của hệ yếu tố hành luôn bị nó thao túng.

Nôm nà là chính vì rootkit tiến hành việc trong Kernel space (vùng bộ phận phận phận phận phận phận phận phận phận phận phận phận phận phận phận phận phận phận phận phận phận phận phận phận phận phận phận nhớ tàng trữ chứa trusted code của kernel khối khối mạng lưới hệ thống), nên mọi câu lệnh mà nó thực thi có quyền tuyệt đối so với hệ yếu tố hành. Như kiểu quyền Administrator vậy, quyề n quá quá tăng tốt nhất.

Nó thử sử dụng cài những driver ô nhiễm vào hệ yếu tố hành nhằm mục tiêu vừa đảm bảo mã thực thi được triển khai giản dị và đơn thuần (sau này) và vừa có quyền khối khối mạng lưới hệ thống tuyệt đối.

Với việc trọn vẹn có thể thay thế đổi đổi những tiến hành việc I/O (file, traffic mạng) trên Lever quá quá tăng tốt nhất và sớm nhất tương hỗ tạo thành lớp áo giáp tàng hình dành với Moriya.

#2. Áo giáp tàng hình của rootkit Moriya

tim-hieu-ve-rootkit-moriya (4)

những malware nói chung giản dị và đơn thuần bị tìm ra nhờ có có có việc liên tục liên lạc với Cvàamp;C server để nhận lệnh thực thi, trong lúc những Cvàamp;C server này bị những hãng bảo mật thông tin blacklist thì malware rất giản dị và đơn thuần bị tìm ra.

Nhưng rootkit Moriya lại tiếp theo, nó tạo ra Passive backdoor nằm vùng mong đợi, mà thốn một chiếc là chính sever trong network của chính nạn nhân lại là Cvàamp;C server thế mạng !

Ngoài ra, nó vẫn vẫn đang còn cơ chế ẩn mình tiến hành những ứng dụng bảo mật thông tin phải “khóc thét”, Moriya sẽ lọc những gói tin traffic mạng (trước mọi ứng dụng bảo mật thông tin một bước, chính vì nó là rootkit mà) để xem gói tin nào chứa “lệnh thực thi” từ Cvàamp;C server hoặc những sever zombie trung gian.

trong lúc bắt được những gói tin này thì ngay luôn nó sẽ lưu “chỉ lệnh” đó vào file/TCP stream riêng để xem qua sau, rồi xoá “chỉ lệnh” khỏi gói tin đó.

Như vậy traffic/ gói tin mạng trong lúc tới tay những ứng dụng bảo mật thông tin sẽ chỉ vẫn vẫn là những gói tin thường gặp, kết tương thích với việc đặt tên/mạo danh những công cụ/ tiến trình không tiếp theo gì những thành phần của Windows tiến hành Moriya thử sử dụng ẩn mình như “tắc kè hoa” thưa những những những những bạn xem qua xem qua xem qua xem qua xem qua xem qua xem qua xem qua xem qua xem qua.

tim-hieu-ve-rootkit-moriya (5)

#3. Tóm tắt

– Rootkit Moriya được tăng trưởng bởi tin tặc Trung Quốc (lỏng lẻo 100%) nhằm mục tiêu tạo Passive backdoor trên những server public của những tổ chức triển khai lớn (Kaspersky chỉ new tìm ra những nạn nhân thuộc khu vực Châu Á Thái Tỉnh Bình Dương và châu Phi).

Những Public server (thường là IIS web server) này tiếp này sẽ tiến hành sử dụng để lây lan Windows rootkit này vào sâu hơn trong tổ chức triển khai trải qua những công cụ scan mạng, khai thác quạt hổng,… đồng thời những server này sẽ đảm nhiệm luôn vai trò là Cvàamp;C server trung gian.

tim-hieu-ve-rootkit-moriya (6)

– Rootkit này được tìm ra lần nguồn vào năm 2018, tiến hành việc mạnh vào tháng 10 năm 2019 dành với tới tháng 5 năm 2020, từng đợt tiến công thường trỏ thời hạn dài vài tháng rồi rootkit tự động hóa xóa dấu vết.

Nam Á là khu vực tiến hành việc mạnh nhất với biến thể có nhiều tính năng nguy hiểm (từng được sử dụng bởi nhóm tin tặc nổi tiếng APT1 của Trung Quốc).

– Rootkit này thử sử dụng giản dị và đơn thuần vô hiệu hóa những ứng dụng bảo mật thông tin (anti virus) nên những những những bạn xem qua xem qua xem qua xem qua xem qua xem qua xem qua xem qua xem qua xem qua không nghĩ mình từng tháo tiền sắm những ứng dụng diệt virus nổi tiếng như Kaspersky hoặc ESET là không lo sợ ngại nhé !

Nếu từng chịu chi dành với bảo mật thông tin thì những những những bạn xem qua xem qua xem qua xem qua xem qua xem qua xem qua xem qua xem qua xem qua hãy sắm hẳn ứng dụng Internet Security (quá quá tăng thời thượng hơn anti-virus) – xem lý vì. Và luôn nhớ update ứng dụng hoặc update hệ yếu tố hành Windows lên phiên dòng new nhất một phương thức thường xuyên nhé !

CTV: Dương Minh Thắng – Blogchiasekienthuc.com

nội dung bài viết đạt: 5/5 sao – (Có một lượt nhận định)

Note: trên đó hữu ích với những những những bạn xem qua xem qua xem qua xem qua xem qua xem qua xem qua xem qua xem qua xem qua chứ? không quên nhận định nội dung bài viết, like và sẻ chia dành với những những những bạn xem qua xem qua xem qua xem qua xem qua xem qua xem qua xem qua xem qua xem qua bè và người thân trong gia đình của những những những bạn xem qua xem qua xem qua xem qua xem qua xem qua xem qua xem qua xem qua xem qua nhé !

Written by 

Leave a Reply

Your email address will not be published.