Vài tuần trước, FBI đã gióng lên hồi chuông cảnh báo về một loại phần mềm tống tiền đáng sợ có tên Medusa. Loại vi-rút này đã quen với việc xâm nhập vào các doanh nghiệp thông qua các dịch vụ email phổ biến như Gmail và Outlook. Nhờ đó, anh ta đã thành công trong việc hack hơn 300 công ty Mỹ từ nhiều lĩnh vực quan trọng khác nhau, chẳng hạn như giáo dục, xây dựng và chăm sóc sức khỏe.
Cụ thể, cuộc tấn công dựa trên "ngày hoặc khả năng thay đổi ngày đó". Tội phạm mạng đang sử dụng trình điều khiển đã lỗi thời 13 năm. Nghĩa là chứng chỉ bảo mật của họ không còn hiệu lực nữa. Trong trường hợp này, chứng chỉ đã hết hạn. vào năm 2012.
Để giải quyết vấn đề về chứng chỉ hợp lệ, Medusa thay đổi ngày của hệ thống mà nó đã lây nhiễm để quay ngược thời gian. Nó khởi động lại hệ thống tại «thời điểmù chứng chỉ đã ký một trình điều khiển nhất định vẫn còn hiệu lực." Trên thực tế, hệ thống coi chứng chỉ là hợp lệ và trình điều khiển không phải là mối đe dọa đối với tính toàn vẹn của máy tính.
Theo thời gian, vi-rút có thể thực thi mã độc hại với cùng đặc quyền như trình điều khiển hợp lệ. Khi đã được cài đặt, trình điều khiển độc hại có chứng chỉ hợp lệ sẽ cực kỳ khó phát hiện hoặc xóa. Nó có thể tồn tại sau khi khởi động lại, vẫn vô hình đối với các công cụ bảo mật cổ điển hoặc thậm chí chống lại việc cài đặt lại một phần Windows.
Đây là một thủ thuật cho phép bạn kiểm soát máy bằng cách bỏ qua các biện pháp bảo mật của Windows. Nó chủ yếu được sử dụng bởi tội phạm mạng tinh vi, bao gồm các nhóm được nhà nước tài trợ (chẳng hạn như các nhóm có liên hệ với Trung Quốc, Nga hoặc Bắc Triều Tiên).
Đối với Boris Cipot, "các tổ chức cần kết hợp khả năng bảo vệ điểm cuối hàng đầu, thực thi nghiêm ngặt các chính sách bảo mật và giám sát chủ động." Trên hết, "Windows phải được cấu hình sao cho thực thi nghiêm ngặt việc kiểm tra thu hồi đối với các trình điều khiển đã ký, để chặn những trình điều khiển có chứng chỉ đã hết hạn.".
Cuối cùng, nhà nghiên cứu lấy làm tiếc rằng nhiều tính năng bảo mật được tích hợp vào Windows có thể không được kích hoạt, chỉ vì chúng đã bịvô hiệu hóa thủ công bởi người dùng. Có quá nhiều tính năng vô hiệu hóa để giúp chạy phần mềm hoặc trình điều khiển cũ dễ dàng hơn. Tội phạm mạng rõ ràng biết được những thói quen xấu của người dùng Internet và không ngần ngại khai thác chúng.
Nguồn: Forbes
Phần mềm tống tiền và du hành thời gian
Với tư cách là nhà nghiên cứu bảo mật Boris Cipot, Medusa đã tìm ra cách du hành xuyên thời gian để đạt được mục đích của mình. Được Forbes, kỹ sư an ninh cấp cao của công ty, đặt câu hỏi. tại Black Duck giải thích rằng vi-rút lợi dụng các lỗi cấu hình trong hệ thống mà nó nhắm tới.Cụ thể, cuộc tấn công dựa trên "ngày hoặc khả năng thay đổi ngày đó". Tội phạm mạng đang sử dụng trình điều khiển đã lỗi thời 13 năm. Nghĩa là chứng chỉ bảo mật của họ không còn hiệu lực nữa. Trong trường hợp này, chứng chỉ đã hết hạn. vào năm 2012.
Để giải quyết vấn đề về chứng chỉ hợp lệ, Medusa thay đổi ngày của hệ thống mà nó đã lây nhiễm để quay ngược thời gian. Nó khởi động lại hệ thống tại «thời điểmù chứng chỉ đã ký một trình điều khiển nhất định vẫn còn hiệu lực." Trên thực tế, hệ thống coi chứng chỉ là hợp lệ và trình điều khiển không phải là mối đe dọa đối với tính toàn vẹn của máy tính.
Theo thời gian, vi-rút có thể thực thi mã độc hại với cùng đặc quyền như trình điều khiển hợp lệ. Khi đã được cài đặt, trình điều khiển độc hại có chứng chỉ hợp lệ sẽ cực kỳ khó phát hiện hoặc xóa. Nó có thể tồn tại sau khi khởi động lại, vẫn vô hình đối với các công cụ bảo mật cổ điển hoặc thậm chí chống lại việc cài đặt lại một phần Windows.
Đây là một thủ thuật cho phép bạn kiểm soát máy bằng cách bỏ qua các biện pháp bảo mật của Windows. Nó chủ yếu được sử dụng bởi tội phạm mạng tinh vi, bao gồm các nhóm được nhà nước tài trợ (chẳng hạn như các nhóm có liên hệ với Trung Quốc, Nga hoặc Bắc Triều Tiên).
Làm thế nào để chống lại vi-rút du hành thời gian?
Để ngăn chặn loại tấn công này, điều bắt buộc là phải phát hiện các thay đổi cấu hình hệ thống, chẳng hạn như thay đổi cái đồng hồ. Chính cách tiếp cận này đã cho phép Medusa tấn công nhiều công ty mà không kích hoạt tính năng bảo mật của Windows.Đối với Boris Cipot, "các tổ chức cần kết hợp khả năng bảo vệ điểm cuối hàng đầu, thực thi nghiêm ngặt các chính sách bảo mật và giám sát chủ động." Trên hết, "Windows phải được cấu hình sao cho thực thi nghiêm ngặt việc kiểm tra thu hồi đối với các trình điều khiển đã ký, để chặn những trình điều khiển có chứng chỉ đã hết hạn.".
Cuối cùng, nhà nghiên cứu lấy làm tiếc rằng nhiều tính năng bảo mật được tích hợp vào Windows có thể không được kích hoạt, chỉ vì chúng đã bịvô hiệu hóa thủ công bởi người dùng. Có quá nhiều tính năng vô hiệu hóa để giúp chạy phần mềm hoặc trình điều khiển cũ dễ dàng hơn. Tội phạm mạng rõ ràng biết được những thói quen xấu của người dùng Internet và không ngần ngại khai thác chúng.
Nguồn: Forbes
