• Trang chủ
  • Giới thiệu
  • Tôi làm
  • Google Adsense
  • Tôi học
  • Cách sống
  • Yêu công nghệ
  • Marketing

Đỗ Mạnh Hùng - Blog của Đỗ Mạnh Hùng SEO Expert, Mmomaster

kuking

Tìm hiểu về mẫu Rootkit.Win32.Stuxnet.a

Tháng Mười 1, 2021 by Đỗ Mạnh Hùng

Cùng tìm hiểu Tìm hiểu về mẫu Rootkit.Win32.Stuxnet.a, chi tiết bài viết:

QuanTriMang.com – Được xếp vào hàng Rootkit, chúng được tạo ra để “tập trung” vào những đối tượng và hoạt động chính của hệ thống Windows, ví dụ như file, thư mục và các tiến trình được lưu trữ trong bộ nhớ của máy tính bị lây nhiễm.

Tất cả đều được che giấu khá kỹ càng, và tất nhiên người dùng bình thường không thể phát hiện được sự tồn tại của chúng. Mặt khác, chúng cũng được trang bị các phương thức payload tinh vi để tránh bị phát hiện bởi những chương trình bảo mật phổ biến hiện nay và kéo dài thời gian hoạt động khi tiếp tục lây lan sang các máy khác.

Những hoạt động đầu tiên của Rootkit.Win32.Stuxnet.a được phát hiện vào ngày 12/07/2010 lúc 07:57 GMT, phân tích vào cùng ngày 12/07/2010, và  thông tin chính thức được công bố ngày 20/09/2010. Thực chất, đây là driver NT kernel mode với dung lượng khoảng 26616 byte.

Khi thực thi trên máy tính của nạn nhân, chúng tự động copy file sau:

%System%driversmrxcls.sys

Để kích hoạt tính năng khởi động cùng hệ thống, chúng tiếp tục ra những khóa registry sau:

[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesMRxCls]
“Description”=”MRXCLS”
“DisplayName”=”MRXCLS”
“ErrorControl”=dword:00000000
“Group”=”Network”
“ImagePath”=”??%System%Driversmrxcls.sys”
“Start”=dword:00000001
“Type”=dword:00000001

Và file %System%driversmrxnet.sys với dung lượng 17400 byte (hay còn gọi là Rootkit.Win32.Stuxnet.b). Đồng thời, chúng tiếp tục tạo những khóa sau trong các dịch vụ của registry:

[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesMRxNet]
“Description”=”MRXCLS”
“DisplayName”=”MRXNET”
“ErrorControl”=dword:00000000
“Group”=”Network”
“ImagePath”=”??%System%Driversmrxnet.sys”
“Start”=dword:00000001
“Type”=dword:00000001

và những file dưới đây để lưu trữ các dòng lệnh thực thi và mã hóa dữ liệu chính của rootkit:

%windir%infmdmcpq3.pnf  – 4633 byte
%windir%infmdmeric3.pnf  – 90 byte
%windir%infoem6c.pnf  – 323848 byte
%windir%infoem7a.pnf – 498176 byte

Loại rootkit này chủ yếu xâm nhập và lây lan qua USB bằng lỗ hổng Zero Day CVE-2010-2568. Khi khởi động, chúng sẽ tự kích hoạt các tiến trình bên trong services.exe để phát hiện và điều khiển các giao thức kết nối USB trên hệ thống. Nếu phát hiện có thiết bị USB nào kết nối,  chúng sẽ tự tạo ra những file sau trên chiếc USB đó:

~wtr4132.tmp với dung lượng 513536 byte (được giám định là dòng Trojan-Dropper.Win32.Stuxnet.a)

~wtr4141.tmp – 25720 byte (đã được xác định là loại Trojan-Dropper.Win32.Stuxnet.b)

Những file DLL trên sẽ tự động download về máy tính khi lỗ hổng được khai thác và tự động cài đặt rootkit trên hệ thống. Mặt khác, các shortcut dẫn tới lổ hổng trên được tạo ra trên tất cả các phân vùng:

“Copy of Shortcut to.lnk”
“Copy of Copy of Shortcut to.lnk”
“Copy of Copy of Copy of Shortcut to.lnk”
“Copy of Copy of Copy of Copy of Shortcut to.lnk”

Tất cả những file trên đều có dung lượng 4171 byte và được nhận định là loại Trojan.WinLnk.Agent.i. Những lỗ hổng bảo mật trên hệ điều hành sẽ tiếp tục bị khai thác nếu người dùng truy cập và xem nội dung bên trong thiết bị USB đó. Và quá trình này lại tiếp tục 1 vòng tuần hoàn lây lan khác của rootkit.

Phương thức Payload:

Mục đích chính của loại rootkit này là chén mã độc vào các tiến trình, ứng dụng mà người sử dụng kích hoạt. Sau đó, chúng sẽ tiếp tục download các file DLL và “nhúng” vào các dịch vụ sau:

svchost.exe
services.exe
lsass.exe

Khi hoàn tất quá trình này, những file DLL trên sẽ được liệt kê trong danh sách module với tên gọi:

kernel32.dll.aslr.
shell32.dll.aslr.

Trong đó, tham số rnd là những số hệ thập phân. Đoạn mã đang được chèn lưu trữ trong file %WinDir%infoem7A.PNF. Tất nhiên là nó đã được mã hóa.

Những đoạn mã để chèn vào hệ thống với các chức năng chính như sau:

 – Có cơ chế tự lây lan qua các thiết bị lưu trữ giao thức USB

 – Kiểm soát hệ thống Siemens Step7. Với mục đích lây lan và nhanh chóng chiếm quyền điều khiển hệ thống, chúng sẽ lập tức thay thế tiến trình s7tgtopx.exe thay vì thư viện s7otbxsx.dll như thường lệ, để mô phỏng các công đoạn khác nhau trong hệ thống theo những hàm API sau:

s7_event
s7ag_bub_cycl_read_create
s7ag_bub_read_var
s7ag_bub_write_var
s7ag_link_in
s7ag_read_szl
s7ag_test
s7blk_delete
s7blk_findfirst
s7blk_findnext
s7blk_read
s7blk_write
s7db_close
s7db_open
s7ag_bub_read_var_seg
s7ag_bub_write_var_seg

Qua đó dễ dàng thu thập các thông tin cần thiết trên hệ thống.

 – Thực hiện các câu lệnh truy vấn SQL, rootkit này sẽ nhận danh sách các máy tính trong mạng nội bộ và kiểm tra sự tồn tại của ứng dụng Microsoft SQL server trên đó, để đáp ứng cho hệ thống ảo hóa và các hoạt động của Siemens WinCC. Nếu chúng tìm thấy được bất kỳ server nào đó, các malware đi kèm sẽ cố gắng kết nối và đăng nhập vào cơ sở dữ liệu sử dụng tên tài khoản và mật khẩu WinCCConnect/2WSXcder, và sau đó yêu cầu trích xuất dữ liệu từ những bảng sau:

MCPTPROJECT
MCPTVARIABLEDESC
MCPVREADVARPERCON
It collects information from files with the extensions:
*.S7P
*.MCP
*.LDF

Những bảng này được sử dụng trong Siemens Step7. Và chúng sẽ tiếp tục lây lan đến các máy tính khác trong hệ thống theo cách tương tự.

 – Sau đó, chúng sẽ gửi đi những thông tin đã đánh cắp được về địa chỉ đã chuẩn bị sẵn bởi tin tặc dưới các dạng gói dữ liệu mã hóa khác nhau. 

 – Những file rootkit này được đánh dấu với chữ ký điện tử – digital signature, của Realtek Semiconductor Corp.  
 
Hướng dẫn xóa bỏ:

Nếu máy tính của bạn đã bị nhiễm loại rootkit này, và chương trình bảo mật hiện thời không hề có tác dụng phòng tránh, hãy áp dụng cách dưới đây để xóa bỏ hoàn toàn những chương trình độc hại này:

Tìm và xóa bỏ hoàn toàn file gốc của rootkit (những file có ký tự lạ xuất hiện trên các phân vùng, thiết bị USB…)
Xóa các file registry sau:

[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesMRxNet]
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesMRxCls]

Tiếp tục xóa những file hệ thống sau:

%System%driversmrxnet.sys
%System%driversmrxcls.sys
%windir%infmdmcpq3.pnf
%windir%infmdmeric3.pnf
%windir%infoem6c.pnf
%windir%infoem7a.pnf

Khởi động lại máy tính, tắt bỏ tính năng hiển thị biểu tượng trong trình quản lý dữ liệu để tránh quá trình lây lan.

Xóa bỏ những file sau trên thiết bị USB:

“Copy of Shortcut to.lnk”
“Copy of Copy of Shortcut to.lnk”
“Copy of Copy of Copy of Shortcut to.lnk”
“Copy of Copy of Copy of Copy of Shortcut to.lnk”
~wtr4132.tmp
~wtr4141.tmp

 – Sử dụng các chương trình bảo mật có uy tín như Kaspersky Internet Security, BitDefender Security, Avira Antivir Premium, Norton Internet Security… 

Kaspersky Lab
Giá bán: 330.000 VNĐ
Thị trường: 365.000 VNĐ
Avira
Giá bán: 289.000 VNĐ
Thị trường: 495.000 VNĐ

BitDefender
Giá bán: 249.000 VNĐ
Thị trường: 340.000 VNĐ

Tất cả đều được che giấu khá kỹ càng, và tất nhiên người dùng bình thường không thể phát hiện được sự tồn tại của chúng. Mặt khác, chúng cũng được trang bị các phương thức payload tinh vi để tránh bị phát hiện bởi những chương trình bảo mật phổ biến hiện nay và kéo dài thời gian hoạt động khi tiếp tục lây lan sang các máy khác.

Những hoạt động đầu tiên của Rootkit.Win32.Stuxnet.a được phát hiện vào ngày 12/07/2010 lúc 07:57 GMT, phân tích vào cùng ngày 12/07/2010, và  thông tin chính thức được công bố ngày 20/09/2010. Thực chất, đây là driver NT kernel mode với dung lượng khoảng 26616 byte.

Khi thực thi trên máy tính của nạn nhân, chúng tự động copy file sau:

%System%driversmrxcls.sys

Để kích hoạt tính năng khởi động cùng hệ thống, chúng tiếp tục ra những khóa registry sau:

[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesMRxCls]
“Description”=”MRXCLS”
“DisplayName”=”MRXCLS”
“ErrorControl”=dword:00000000
“Group”=”Network”
“ImagePath”=”??%System%Driversmrxcls.sys”
“Start”=dword:00000001
“Type”=dword:00000001

Và file %System%driversmrxnet.sys với dung lượng 17400 byte (hay còn gọi là Rootkit.Win32.Stuxnet.b). Đồng thời, chúng tiếp tục tạo những khóa sau trong các dịch vụ của registry:

[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesMRxNet]
“Description”=”MRXCLS”
“DisplayName”=”MRXNET”
“ErrorControl”=dword:00000000
“Group”=”Network”
“ImagePath”=”??%System%Driversmrxnet.sys”
“Start”=dword:00000001
“Type”=dword:00000001

và những file dưới đây để lưu trữ các dòng lệnh thực thi và mã hóa dữ liệu chính của rootkit:

%windir%infmdmcpq3.pnf  – 4633 byte
%windir%infmdmeric3.pnf  – 90 byte
%windir%infoem6c.pnf  – 323848 byte
%windir%infoem7a.pnf – 498176 byte

Loại rootkit này chủ yếu xâm nhập và lây lan qua USB bằng lỗ hổng Zero Day CVE-2010-2568. Khi khởi động, chúng sẽ tự kích hoạt các tiến trình bên trong services.exe để phát hiện và điều khiển các giao thức kết nối USB trên hệ thống. Nếu phát hiện có thiết bị USB nào kết nối,  chúng sẽ tự tạo ra những file sau trên chiếc USB đó:

~wtr4132.tmp với dung lượng 513536 byte (được giám định là dòng Trojan-Dropper.Win32.Stuxnet.a)

~wtr4141.tmp – 25720 byte (đã được xác định là loại Trojan-Dropper.Win32.Stuxnet.b)

Những file DLL trên sẽ tự động download về máy tính khi lỗ hổng được khai thác và tự động cài đặt rootkit trên hệ thống. Mặt khác, các shortcut dẫn tới lổ hổng trên được tạo ra trên tất cả các phân vùng:

“Copy of Shortcut to.lnk”
“Copy of Copy of Shortcut to.lnk”
“Copy of Copy of Copy of Shortcut to.lnk”
“Copy of Copy of Copy of Copy of Shortcut to.lnk”

Tất cả những file trên đều có dung lượng 4171 byte và được nhận định là loại Trojan.WinLnk.Agent.i. Những lỗ hổng bảo mật trên hệ điều hành sẽ tiếp tục bị khai thác nếu người dùng truy cập và xem nội dung bên trong thiết bị USB đó. Và quá trình này lại tiếp tục 1 vòng tuần hoàn lây lan khác của rootkit.

Phương thức Payload:

Mục đích chính của loại rootkit này là chén mã độc vào các tiến trình, ứng dụng mà người sử dụng kích hoạt. Sau đó, chúng sẽ tiếp tục download các file DLL và “nhúng” vào các dịch vụ sau:

svchost.exe
services.exe
lsass.exe

Khi hoàn tất quá trình này, những file DLL trên sẽ được liệt kê trong danh sách module với tên gọi:

kernel32.dll.aslr.
shell32.dll.aslr.

Trong đó, tham số rnd là những số hệ thập phân. Đoạn mã đang được chèn lưu trữ trong file %WinDir%infoem7A.PNF. Tất nhiên là nó đã được mã hóa.

Những đoạn mã để chèn vào hệ thống với các chức năng chính như sau:

 – Có cơ chế tự lây lan qua các thiết bị lưu trữ giao thức USB

 – Kiểm soát hệ thống Siemens Step7. Với mục đích lây lan và nhanh chóng chiếm quyền điều khiển hệ thống, chúng sẽ lập tức thay thế tiến trình s7tgtopx.exe thay vì thư viện s7otbxsx.dll như thường lệ, để mô phỏng các công đoạn khác nhau trong hệ thống theo những hàm API sau:

s7_event
s7ag_bub_cycl_read_create
s7ag_bub_read_var
s7ag_bub_write_var
s7ag_link_in
s7ag_read_szl
s7ag_test
s7blk_delete
s7blk_findfirst
s7blk_findnext
s7blk_read
s7blk_write
s7db_close
s7db_open
s7ag_bub_read_var_seg
s7ag_bub_write_var_seg

Qua đó dễ dàng thu thập các thông tin cần thiết trên hệ thống.

 – Thực hiện các câu lệnh truy vấn SQL, rootkit này sẽ nhận danh sách các máy tính trong mạng nội bộ và kiểm tra sự tồn tại của ứng dụng Microsoft SQL server trên đó, để đáp ứng cho hệ thống ảo hóa và các hoạt động của Siemens WinCC. Nếu chúng tìm thấy được bất kỳ server nào đó, các malware đi kèm sẽ cố gắng kết nối và đăng nhập vào cơ sở dữ liệu sử dụng tên tài khoản và mật khẩu WinCCConnect/2WSXcder, và sau đó yêu cầu trích xuất dữ liệu từ những bảng sau:

MCPTPROJECT
MCPTVARIABLEDESC
MCPVREADVARPERCON
It collects information from files with the extensions:
*.S7P
*.MCP
*.LDF

Những bảng này được sử dụng trong Siemens Step7. Và chúng sẽ tiếp tục lây lan đến các máy tính khác trong hệ thống theo cách tương tự.

 – Sau đó, chúng sẽ gửi đi những thông tin đã đánh cắp được về địa chỉ đã chuẩn bị sẵn bởi tin tặc dưới các dạng gói dữ liệu mã hóa khác nhau. 

 – Những file rootkit này được đánh dấu với chữ ký điện tử – digital signature, của Realtek Semiconductor Corp.  
 
Hướng dẫn xóa bỏ:

Nếu máy tính của bạn đã bị nhiễm loại rootkit này, và chương trình bảo mật hiện thời không hề có tác dụng phòng tránh, hãy áp dụng cách dưới đây để xóa bỏ hoàn toàn những chương trình độc hại này:

Tìm và xóa bỏ hoàn toàn file gốc của rootkit (những file có ký tự lạ xuất hiện trên các phân vùng, thiết bị USB…)
Xóa các file registry sau:

[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesMRxNet]
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesMRxCls]

Tiếp tục xóa những file hệ thống sau:

%System%driversmrxnet.sys
%System%driversmrxcls.sys
%windir%infmdmcpq3.pnf
%windir%infmdmeric3.pnf
%windir%infoem6c.pnf
%windir%infoem7a.pnf

Khởi động lại máy tính, tắt bỏ tính năng hiển thị biểu tượng trong trình quản lý dữ liệu để tránh quá trình lây lan.

Xóa bỏ những file sau trên thiết bị USB:

“Copy of Shortcut to.lnk”
“Copy of Copy of Shortcut to.lnk”
“Copy of Copy of Copy of Shortcut to.lnk”
“Copy of Copy of Copy of Copy of Shortcut to.lnk”
~wtr4132.tmp
~wtr4141.tmp

 – Sử dụng các chương trình bảo mật có uy tín như Kaspersky Internet Security, BitDefender Security, Avira Antivir Premium, Norton Internet Security… 

Kaspersky Lab
Giá bán: 330.000 VNĐ
Thị trường: 365.000 VNĐ
Avira
Giá bán: 289.000 VNĐ
Thị trường: 495.000 VNĐ

BitDefender
Giá bán: 249.000 VNĐ
Thị trường: 340.000 VNĐ

Các sản phẩm số CỰC HOT giải trí, học tập tham khảo ngay cho nóng:

  • elsa pro trọn đời
  • bán tài khoản tradingview tại oao.vn
  • chặn quảng cáo youtube trên tivi điện thoại, các loại

Tham khảo các bài hay sau:

  • cách tạo trend trên mạng xã hội
  • chỉ số sức mạnh dragon ball
  • xén lông cừu là gì

Nguồn:

  • https://huongdan365.com/ – oao.vn – google

Bài viết liên quan

Ngăn ngừa dị ứng không khó
Nghệ thuật Chèo vẫn bền bỉ vượt thời gian
12 món ăn đường phố nghe tên là “nuốt nước miếng” của Ý

Filed Under: Yêu công nghệ Tagged With: Bán hàng qua mạng

Primary Sidebar

Bài mới nhất

  • Cảm động câu chuyện về bài hát “chị tôi” của Trần Tiến
  • Đừng bỏ qua cách làm hoa bươm bướm đẹp mong manh
  • Bí quyết vượt qua khó khăn khi đặt tên cho baby mới chào đời
  • Vẽ bản đồ gia vị món ngon Việt qua 4.000 năm
  • Chuyện lạ nơi thiếu nữ 16 tuổi qua 3 đời chồng

Chuyên mục

  • Cách sống
  • Giới thiệu
  • Google Adsense
  • Marketing
  • Sức khỏe
  • Tôi học
  • Tôi làm
  • Yêu công nghệ

Blog Frends

PT boxing Huấn luyện viên
Dat mua bộ kích nổ ô tô tốt nhất chinh hang
Tìm hiểu Giải đáp Kết hôn với người nước ngoài tại đây
Download Gta Mods popular
Reviews Minecraft Mods wminecraft HD

Copyright © 2022 · Blog cá nhân của Đỗ Mạnh Hùng

Go to mobile version