Tất cả người dùng Windows nên cập nhật ngay lập tức khi vụ hack 'Complete Control' được xác nhận

Trang Chủ » Hình thức dài

Biểu tượng thời gian đọc 4 phút đọc

Biểu tượng lịch Cập nhật vào

by Anmol Mehrotra 

cập nhật trên

Chia sẻ bài báo này

Bạn đọc giúp đỡ ủng hộ MSpoweruser. Chúng tôi có thể nhận được hoa hồng nếu bạn mua thông qua các liên kết của chúng tôi. Biểu tượng chú giải công cụ

Đọc trang tiết lộ của chúng tôi để tìm hiểu cách bạn có thể giúp MSPoweruser duy trì nhóm biên tập Tìm hiểu thêm

Một vài tuần trở lại đây, các nhà nghiên cứu từ công ty an ninh mạng Eclypsium tiết lộ rằng hầu như tất cả các nhà sản xuất phần cứng lớn đều có một lỗ hổng có thể cho phép các ứng dụng độc hại có được đặc quyền hạt nhân ở cấp độ người dùng, do đó có quyền truy cập trực tiếp vào phần sụn và phần cứng.

Các nhà nghiên cứu đã công bố danh sách các nhà sản xuất phần cứng và nhà cung cấp BIOS, bao gồm Toshiba, ASUS, Huawei, Intel, Nvidia, v.v. Lỗ hổng này cũng ảnh hưởng đến tất cả các phiên bản Windows mới bao gồm Windows 7, 8, 8.1 và Windows 10. Mặc dù Microsoft đã phát hành một tuyên bố xác nhận rằng Windows Defender có nhiều khả năng xử lý vấn đề, nhưng họ không đề cập đến việc người dùng cần. sử dụng phiên bản Windows mới nhất để được hưởng lợi ích tương tự. Đối với các phiên bản Windows cũ hơn, Microsoft lưu ý rằng họ sẽ sử dụng khả năng HVCI (Tính toàn vẹn của mã được thực thi bởi Hypervisor) để đưa vào danh sách đen các trình điều khiển được báo cáo cho họ. Thật không may, tính năng này chỉ khả dụng trên bộ vi xử lý Intel thế hệ thứ 7 trở lên; vì vậy các CPU cũ hơn hoặc những CPU mới hơn mà HCVI bị vô hiệu hóa, yêu cầu gỡ cài đặt trình điều khiển theo cách thủ công.

Nếu đây không phải là tin xấu, thì giờ đây tin tặc đã sử dụng lỗ hổng này để khai thác người dùng. Trojan truy cập từ xa hoặc RAT đã xuất hiện trong nhiều năm nhưng những phát triển gần đây khiến nó trở nên nguy hiểm hơn bao giờ hết. NanoCore RAT từng được bán trên Dark Web với giá 25 đô la nhưng đã bị bẻ khóa vào năm 2014 và phiên bản miễn phí đã được cung cấp cho các tin tặc. Sau đó, công cụ này trở nên phức tạp hơn khi các plugin mới được thêm vào nó. Giờ đây, các nhà nghiên cứu từ LMNTRX Labs đã phát hiện ra một bổ sung mới cho phép tin tặc tận dụng lỗ hổng và công cụ này hiện được cung cấp miễn phí trên Dark Web.

Trong trường hợp bạn đánh giá thấp công cụ, nó có thể cho phép tin tặc tắt máy hoặc khởi động lại hệ thống, duyệt các tệp từ xa, truy cập và kiểm soát Task Manager, Registry Editor và thậm chí cả chuột. Không chỉ vậy, kẻ tấn công còn có thể mở các trang web, vô hiệu hóa đèn hoạt động của webcam để do thám nạn nhân mà không bị phát hiện và thu âm thanh, video. Vì kẻ tấn công có toàn quyền truy cập vào máy tính, chúng cũng có thể khôi phục mật khẩu và lấy thông tin đăng nhập bằng keylogger cũng như khóa máy tính bằng mã hóa tùy chỉnh có thể hoạt động giống như ransomware.

Tin tốt là NanoCore RAT đã tồn tại trong nhiều năm, phần mềm này đã được các nhà nghiên cứu bảo mật biết đến nhiều. Đội LMNTRX (thông qua Forbes) đã chia nhỏ các kỹ thuật phát hiện thành ba loại chính:

  • T1064 - Viết kịch bản: Vì tập lệnh thường được quản trị viên hệ thống sử dụng để thực hiện các tác vụ thông thường, nên bất kỳ sự thực thi bất thường nào của các chương trình tập lệnh hợp pháp, chẳng hạn như PowerShell hoặc Wscript, đều có thể báo hiệu hành vi đáng ngờ. Kiểm tra các tệp văn phòng để tìm mã macro cũng có thể giúp xác định tập lệnh được sử dụng bởi những kẻ tấn công. Các quy trình Office, chẳng hạn như winword.exe sinh sản các bản sao của cmd.exe hoặc các ứng dụng tập lệnh như wscript.exe và powershell.exe, có thể chỉ ra hoạt động độc hại.
  • T1060 - Phím Chạy Đăng ký / Thư mục Khởi động: Giám sát Registry để biết các thay đổi để chạy các khóa không tương quan với phần mềm hoặc chu kỳ vá lỗi đã biết và theo dõi thư mục bắt đầu để biết các bổ sung hoặc thay đổi, có thể giúp phát hiện phần mềm độc hại. Các chương trình đáng ngờ đang thực thi khi khởi động có thể hiển thị dưới dạng các quy trình ngoại lệ chưa từng thấy trước đây khi so sánh với dữ liệu lịch sử. Các giải pháp như LMNTRIX Respond, theo dõi những vị trí quan trọng này và đưa ra cảnh báo cho bất kỳ thay đổi hoặc bổ sung đáng ngờ nào, có thể giúp phát hiện những hành vi này.
  • T1193 - Phần đính kèm Spearphishing: Hệ thống Phát hiện Xâm nhập Mạng, chẳng hạn như Phát hiện LMNTRIX, có thể được sử dụng để phát hiện hành vi đột nhập với các tệp đính kèm độc hại trong quá trình truyền tải. Trong trường hợp của LMNTRIX Detect, các khoang kích nổ được tích hợp sẵn có thể phát hiện các tệp đính kèm độc hại dựa trên hành vi, thay vì chữ ký. Điều này rất quan trọng vì tính năng phát hiện dựa trên chữ ký thường không bảo vệ được khỏi những kẻ tấn công thường xuyên thay đổi và cập nhật tải trọng của chúng.

Nhìn chung, các kỹ thuật phát hiện này áp dụng cho các tổ chức và cho người dùng cá nhân / gia đình, điều tốt nhất cần làm ngay bây giờ là cập nhật mọi phần mềm để đảm bảo phần mềm đang chạy trên phiên bản mới nhất. Điều này bao gồm trình điều khiển Windows, phần mềm của bên thứ 3 và thậm chí cả Bản cập nhật Windows. Quan trọng nhất, không tải xuống hoặc mở bất kỳ email đáng ngờ nào hoặc cài đặt bất kỳ phần mềm bên thứ 3 nào từ một nhà cung cấp không xác định.

Thông tin thêm về các chủ đề: các ứng dụng, tấn, microsoft, đặc quyền leo thang, cửa sổ, 10 cửa sổ, 8 cửa sổ

Anmol Mehrotra

Anmol Mehrotra Lá chắn

Phóng viên tin tức Android và Windows

Anmol đưa tin về Android và Windows. Anh ấy là một nhà văn công nghệ với hơn một thập kỷ kinh nghiệm.