RDP – Trung tâm quản trị mạng và an ninh mạng quốc tế Athena https://athena.edu.vn Trung tâm quản trị mạng và an ninh mạng quốc tế Athena Mon, 30 Dec 2019 02:58:11 +0000 vi hourly 1 https://wordpress.org/?v=6.8.2 https://athena.edu.vn/content/uploads/2019/08/cropped-favico-1-32x32.png RDP – Trung tâm quản trị mạng và an ninh mạng quốc tế Athena https://athena.edu.vn 32 32 Điểm qua những mối đe dọa đáng chú ý nhất của thể giới bảo mật trong năm 2019 https://athena.edu.vn/diem-qua-nhung-moi-de-doa-dang-chu-y-nhat-cua-gioi-bao-mat-trong-nam-2019/?utm_source=rss&utm_medium=rss&utm_campaign=diem-qua-nhung-moi-de-doa-dang-chu-y-nhat-cua-gioi-bao-mat-trong-nam-2019 Mon, 30 Dec 2019 02:58:11 +0000 http://athena.edu.vn/?p=5176 2019 tiếp tục là 1 năm đầy biến động của thế giới bảo mật toàn cầu. Không ít phương thức bảo mật mới mẻ, hiện đại được giới thiệu, nhưng song hành với đó là sự tiến triển không ngừng từ các tác nhân độc hại. Botnet, trojan, RATS hay ransomware, tất cả đã góp phần tạo nên một năm 2019 đầy biến động nhưng cũng rất đáng nhớ. Hãy cùng điểm qua những mối đe dọa đáng chú ý nhất của thể giới bảo mật trong năm vừa qua để cùng rút kinh nghiệm trong tương lai.

An ninh mạng

Lỗ hổng RDP

https://st.quantrimang.com/photos/image/072012/03/Lo-hong.jpg

Lỗ hổng giao thức Remote desktop protocol (RDP) BlueKeep, và sau đó là DejaBlue, đã trở thành nỗi ác mộng trong năm 2019. Chúng cho phép những kẻ tấn công từ xa khai thác và kiểm soát hoàn toàn các thiết bị điểm cuối bị nhắm mục tiêu. Nỗi ám ảnh về một WannaCry thứ 2 đã buộc Microsoft phải lập tức tung ra các bản vá bảo mật đối với những hệ thống cũ như Windows XP và Windows 2000.

Zero-day

https://www.vietsunshine.com.vn/wp-content/uploads/2019/10/L%E1%BB%97-h%E1%BB%95ng-Zero-Day-m%E1%BB%9Bi-%E1%BA%A3nh-h%C6%B0%E1%BB%9Fng-t%E1%BB%9Bi-h%E1%BA%A7u-h%E1%BA%BFt-c%C3%A1c-%C4%91i%E1%BB%87n-tho%E1%BA%A1i-Android.png

Zero-day là một trong những thành phần không thể thiếu khi nói đến bức tranh bảo mật toàn cảnh trong năm 2019. Đơn cử như trường hợp của Urgent/11, lỗ hổng zero-day này có ảnh hưởng đến 11 lỗ hổng thực thi mã từ xa thời gian thực trong VxWorks OS – một hệ điều hành được sử dụng trong rất nhiều thiết bị cơ sở hạ tầng quan trọng của các tổ chức chính phủ trên toàn thế giới.

Lỗ hổng CPU

https://tek4.vn/wp-content/uploads/2018/11/cpu-vulnerability.jpg

Sau Meltdown và Spectre của năm 2018, các lỗ hổng CPU liên quan đến side-channel vẫn tiếp tục “nở rộ” trong năm 2019 với những tên tuổi đình đám như ZombieLoad, Bound Check Bypass Store, Netspectre và NetCAT. Theo dự đoán của giới chuyên gia, tình hình trong năm 2020 chắc chắn sẽ vẫn rất khó khăn, thậm chí sẽ có nhiều biến thể nghiêm trọng hơn được ghi nhận.

Ransomware

https://s.cystack.net/resource/home/content/10154138/Why-is-Ransomware-Successful.png

Không còn nghi ngờ gì nữa, 2019 chính là năm “cực thịnh” của ransomware kể từ khi loại mã độc tống tiền này được phát hiện lần đầu vào năm 2017. Thay vì nhắm mục tiêu đại trà, trong năm vừa qua các chủng ransomware nói chung đã chuyển hướng tấn công sang những đối tượng có thể giúp chúng thu về nhiều tiền chuộc hơn, bao gồm trường học, bệnh viện, dịch vụ công và đặc biệt là các doanh nghiệp, gây thiệt hại lên tới hàng tỷ USD. Một số chủng ransomware nổi bật phải kể đến trong năm qua bao gồm MegaCortex, Ryuk, LockerGoga, REvil, và PureLocker.

Botnet

https://www.welivesecurity.com/wp-content/uploads/2018/06/USGov_Botnets-623x432.jpg

Botnet tiếp tục là một công cụ quan trọng trong các cuộc tấn công mạng xảy ra suốt năm vừa qua. Chúng ta đã chứng kiến sự trở lại của botnet Emotet khét tiếng, và đặc biệt là Echobot, một botnet IoT, đã tạo ra mạng lưới khai thác rộng lớn với quy mô lên tới hàng triệu thiết bị. Botnet chắc chắn sẽ vẫn là một vấn nạn trong thế giới bảo mật nhiều năm tới.

Tấn công nhắm vào thiết bị di động

Không nổi cộm như ransomware hay botnet, nhưng các cuộc tấn công nhắm vào thiết bị di động cũng là một mối đe dọa lớn trong năm vừa qua. Nổi bật trong số đó chính là các trojan được lây nhiễm vào smartphone, máy tính bảng của người dùng nhằm đánh cắp thông tin cá nhân như Anubis hay Gustuff Android… ảnh hưởng đến hàng triệu người trên toàn thế giới.

2020 được dự báo sẽ vẫn là một năm đầy khó khăn đối với lĩnh vực bảo mật an ninh mạng. Trên tất cả, chính người dùng cá nhân cũng như các doanh nghiệp hãy tự cập nhật kiến thức, đề cao cảnh giác để bảo đảm sự an toàn cho chính mình.

Nguồn quantrimang

AEH

Khóa học Hacker Mũ Trắng – AEH

]]>
Cuộc tấn công ‘khai thác hàng loạt’ lỗ hổng BlueKeep RDP đầu tiên được phát hiện https://athena.edu.vn/phat-hien-worm-bluekeep-tan-cong-honeypot/?utm_source=rss&utm_medium=rss&utm_campaign=phat-hien-worm-bluekeep-tan-cong-honeypot Tue, 05 Nov 2019 03:07:43 +0000 http://athena.edu.vn/?p=4880 https://www.fudzilla.com/media/k2/items/cache/80de977f7690e0c74a858c4da6a6a9b9_L.jpg

Các nhà nghiên cứu về an ninh mạng đã phát hiện ra một cuộc tấn công mạng mới được cho là lần đầu tiên nhưng là một nhóm tấn công nghiệp dư nhằm vũ khí hóa lỗ hổng BlueKeep RDP khét tiếng để chiếm hàng loạt các hệ thống dễ bị tổn thương để khai thác tiền điện tử.

Vào tháng 5 năm nay, Microsoft đã phát hành một bản vá cho lỗ hổng thực thi mã từ xa cực kỳ quan trọng, được đặt tên là BlueKeep, trong Windows Remote Desktop Services có thể được khai thác từ xa để kiểm soát hoàn toàn các hệ thống dễ bị tổn thương chỉ bằng cách gửi các yêu cầu được tạo đặc biệt qua RDP.

BlueKeep, có mã là CVE-2019-0708, là một lỗ hổng có thể gây nhiều ảnh hưởng đến hệ thống bởi vì nó có thể được vũ khí hóa bởi phần mềm độc hại để tự truyền từ máy tính dễ bị tổn thương này sang máy tính khác mà không cần sự tương tác của nạn nhân.

BlueKeep được coi là một mối đe dọa nghiêm trọng đến mức kể từ khi phát hiện ra, Microsoft và thậm chí các cơ quan chính phủ [NSA và GCHQ] đã liên tục khuyến khích người dùng và quản trị viên Windows áp dụng các bản vá bảo mật trước khi tin tặc nắm giữ hệ thống của họ.

Ngay cả khi nhiều công ty bảo mật và các nhà nghiên cứu an ninh mạng cá nhân đã phát triển thành công một công cụ khai thác hoàn toàn cho BlueKeep và cam kết sẽ không phát hành ra công chúng vì lợi ích lớn hơn và đặc biệt hơn là vì gần 1 triệu hệ thống đã bị phát hiện rằng dễ bị tổn thương ngay cả khi sau một tháng khi mà các bản vá được phát hành.

Đây là lý do tại sao các tin tặc nghiệp dư phải mất gần sáu tháng để đưa ra một khai thác BlueKeep không đáng tin cậy và thậm chí không có tính năng lây lan sang các máy tính khác.

Cách khai thác BlueKeep có thể lây lan các phần mềm độc hại đòi tiền chuộc tiền điện tử.

Việc khai thác BlueKeep lan rộng lần đầu tiên được Kevin Beaumont suy đoán vào thứ bảy khi nhiều hệ thống honeypot EternalPot RDP của anh bị hỏng và khởi động lại đột ngột.

https://1.bp.blogspot.com/-hyX3ddXlFck/Xb6tKuDByzI/AAAAAAAA1lc/nSCU1vcNBzAqG7Kkqv-H523N2rfSo1jzQCLcBGAsYHQ/s728-e100/bluekeep-wormable-rdp-vulnerability.png

Marcus Hutchins, nhà nghiên cứu đã giúp ngăn chặn sự bùng phát của ransomware WannaCry vào năm 2017, sau đó phân tích các vụ tai nạn được chia sẻ bởi Beaumont và xác nhận “Các phần mềm để khai thác BlueKeep trong bộ nhớ và shellcode là để thả Monero Miner”.

Những khai thác chứa các lệnh PowerShell được mã hóa dưới dạng playload, sau đó nó sẽ tải xuống tệp nhị phân để thực thi mã độc trên máy chủ bởi kẻ tấn công kiểm soát từ xa và thực thi mã trên các hệ thống được nhắm vào.

Theo dịch vụ quét phần mềm độc hại VirusTotal của Google, mã nhị phân độc hại này là phần mềm độc hại dùng để đào tiền điện tử Monero (XMR), phần mềm sử dụng sức mạnh tính toán của các hệ thống bị nhiễm để tạo doanh thu cho kẻ tấn công.

Nhưng đó không phải là cuộc tấn công Wormable!

 Hutchins cũng xác nhận rằng phần mềm độc hại được phát tán bởi công cụ khai thác BlueKeep này không chứa bất kỳ khả năng tự phát tán nào để nhảy từ máy tính này sang máy tính khác.

Thay vào đó, có vẻ như những kẻ tấn công này phải quét Internet để tìm các hệ thống dễ bị tấn công và sau đó mới bắt đầu khai thác chúng.

Nói cách khác, nếu không có khả năng lây lan như worm, kẻ tấn công sẽ chỉ có thể xâm nhập các hệ thống dễ bị tổn thương được kết nối trực tiếp với Internet, chứ không phải các hệ thống được kết nối nội bộ.

Mặc dù các tin tặc đã có thể đã khai thác lỗ hổng BlueKeep để đánh cắp thông tin, nhưng may mắn thay, lỗ hổng này vẫn chưa được khai thác ở quy mô lớn hơn, như các cuộc tấn công của WannaCry hoặc NotPetya, như suy đoán ban đầu.

Tuy nhiên, tại thời điểm hiện tại, không rõ có bao nhiêu hệ thống Windows dễ bị tổn thương có lỗ hổng BlueKeep đã bị xâm phạm trong các cuộc tấn công mạng mới nhất để triển khai công cụ khai thác Monero.

Nếu việc khắc phục lỗi cho tổ chức của bạn không thể thực hiện sớm, thì hãy làm theo những biện pháp giảm thiểu này:

  • Vô hiệu hóa RPD, nếu không cần thiết.
  • Chặn cổng 3389 bằng tường lửa hoặc truy cập nó qua một VPN riêng.
  • Kích hoạt xác thực cấp độ mạng (NLA) – đây là giảm thiểu một phần để ngăn chặn bất kỳ kẻ tấn công không xác thực nào khai thác lỗ hổng Wormable này.

Nguồn thehackernews.com

]]>