Các nhà nghiên cứu từ Trend Micro phát hiện một chiến dịch của tin tặc nhắm vào một số hệ thống chạy trên máy chủ Microsoft Internet Information Services (IIS) 6.0 để khai thác tiền ảo Electroneum Cryptocurrency (ETN).
Chiến dịch tấn công này khai thác lỗ hổng CVE-2017-7269, một lỗ hổng trước đây đã từng được tin tặc sử dụng để đào tiền ảo Monero. Nhóm tin tặc Bắc Triều Tiên Lazarus cũng đã khai thác lỗ hổng này để tổ chức các cuộc tấn công vào Chính phủ Hàn Quốc.
Nhưng kẻ tấn công vẫn đang khai thác lỗ hổng trong Microsoft IIS 6.0 mặc dù nó đã được tuyên bố bị khai tử vào ba năm trước. Các nhà nghiên cứu bảo mật nhận thấy rằng cuộc tấn công này của tin tặc tương tự với việc khai thác lỗ hổng gây ra hiện tượng tràn bộ đệm công bố vào tháng 3 năm 2017. Sự khác biệt nằm trong “shellcode” được sử dụng trong các lệnh ở mỗi chiến dịch. Các ký tự chữ số và ký hiệu Unicode sử dụng shellcode ASCII để chứa chuỗi lập trình xử lý việc tràn bộ đệm, tên là Return-Oriented Programing (ROP), cho phép kẻ tấn công bỏ qua các kiểm soát ở đầu vào và truy xuất ngược lại tới máy chủ độc hại từ xa. Một trình truy xuất ngược là một loại vỏ tương tác, trong đó máy tính nạn nhân giao tiếp với máy chủ từ xa của tin tặc và đợi thực hiện các lệnh shellcode.
Hệ thống bị nhắm mục tiêu sẽ nhận được hai lệnh sau khi kết nối với máy của kẻ tấn công, lệnh đầu tiên vô hiệu hóa tường lửa của máy tính bị xâm nhập, và một lệnh khai thác được gọi là Squiblydoo, trong đó tin tặc đưa vào danh sách trắng các lệnh của chúng dưới dạng nhị phân Microsoft hợp lệ. Kẻ tấn công có thể thực thi một Ngôn ngữ đánh dấu mở rộng từ xa (Extensible Markup Language – XML) có chứa các tập lệnh với mã lựa chọn. Tin tặc lập lại các kịch bản quy trình Microsoft Visual Basic hợp pháp và quan trọng, trước khi chèn phần mềm mã hóa vào khởi động hệ thống để làm cho cuộc tấn công trông giống như một quy trình điều hành hợp pháp.
Kẻ tấn công chỉ kiếm được 99 USD từ chiến dịch từ thời điểm các nhà nghiên cứu công bố báo cáo của họ, có vẻ như kịch bản thực hiện ban đầu của chúng không hoạt động hiệu quả. Hoặc có thể giải thích rằng không có nhiều máy chủ IIS 6.0 dễ bị tấn công. Hoặc có thể tin tặc đã thay đổi địa chỉ ví điện tử để tránh bị phát hiện.
Trend Micro luôn luôn đề nghị các doanh nghiệp nâng cấp hệ thống và tăng cường bảo mật cũng như quản lý hệ thống để tránh bị tin tặc tấn công qua lỗ hổng bảo mật. Hơn nữa, việc sao lưu và di chuyển dữ liệu quan trọng là điều cực kì quan trọng. Kẻ tấn công luôn tìm kiếm những thay đổi của hệ thống vì việc nâng cấp có thể mất vài tháng để thực hiện, và hệ thống mạng sẽ được mở vô tình giúp tin tặc dễ dàng xâm nhập. Dưới đây là một số đề xuất từ Trend Micro để quản lý hệ thống cũ của bạn:
- Cập nhật ngay bản vá lỗi khẩn cấp ngay cả đối với sản phẩm đời cuối. Đảm bảo thực hiện vá khẩn cấp ngay khi mọi thứ hoàn tất.
- Tận dụng các bản vá ảo hợp pháp do nhà cung cấp bảo mật phát hành. Các sản phẩm bảo mật sẽ hỗ trợ tìm kiếm các lỗ hổng và tải lên bản vá lỗi ảo thay thế, ngay cả với các hệ thống EOL.
Hiện tại, Trend Micro đang hỗ trợ doanh nghiệp và người dùng cá nhân các bản vá lỗi ảo cũng như phần mềm bảo mật giúp bảo vệ hệ thống, ngay cả với các hệ thống EOL. Doanh nghiệp và người dùng có thể lựa chọn sử dụng Trend Micro Deep Security, Deep Discovery Inspector, Tipping Point, Trend Micro Home Network Security để bảo vệ hệ thống trước các cuộc tấn công từ tin tặc.