VnExperts Academy - Đào tạo CCNA, CCNP, CCSP, MCSA, MCSE, MCITP, Linux, Security+, CEH...

Conficker sâu máy tính thời nay:

Một loại sâu mà danh tiếng của nó đã gây cho giới công nghệ thông tin một mối lo ngại về su thế phát triển của Virus.

  1. Lịch sử và sự phát triển của Conficker.

- Conficker được phát hiện lần đầu tiên vào  tháng 10 năm 2008 với biến thể đầu tiên là Conficker A nó còn được biết đến với cái tên Kido, Downup hay Downaup. Là một loại sâu do đó Conficker có khả năng tự lây nhiễm và mức độ lây nhiễm ngày càng nhanh. Nó tấn công vào hầu hết các hệ điều hành của Microsoft với cơ chế khai thác lỗ hổng MS08 của Microsoft. Conficker gây khó khăn cho những nhà quản trị hệ thống và buộc họ phải quan tâm nhiều hơn tới nó. Khả năng của Conficker rất khó dự đoán với các biến thể mới và cơ chế tự Update của nó thì khả năng khống chế nó rất khó. Hiện nay thì phiên bản mới nhất của Conficker là Conficker E loại sâu này mới được phát hiện cách đây gần 2 tháng nhưng khả năng lây nhiễm cũng như tấn công của nó ngày càng nguy hiểm. Việc fix lõi trên các máy là rất quan trọng vì thực tế thì Conficker khai thác những máy tính có các chính sách bảo mật yếu. Việc update liên tục các bản vá lỗi của Windows và các phần mềm Anti-Virus sẽ làm giảm mức độ tấn công của Conficker.

Conficker là một loại sâu được đánh giá là có mức độ lây lan nhanh nhất trong lịch sử của Virus máy tính. Mỗi một ngày bình quan conficker lây nhiễm khoảng 50.000 máy tính. Conficker sử dụng cơ chế tự Scan tới các máy tính trong mạng LAN để khai thác lỗ hổng và tấn công những máy có lỗ hổng MS08-067 của hầu hết các hệ điều hành của Microsoft.

Conficker khi đã lây nhiễm vào một máy tính trọng mạng nội bộ nó có thể Scan toàn bộ hệ thống mạng và tân công toàn bộ hệ thống mạng LAN. Một trong những tính năng đặc biệt của Conficker đó là nó sử dụng Port 445 và 139 của việc xác thực SMB để tấn công làm mạng nội bộ gặp trục chặc khi ra Internet. Tính năng này làm cho Conficker dễ được phát hiện khi máy tính có tình trạng ra ngoài Internet một cách chập chờn không ổn định và một số dịch vụ update của hệ điều hành cũng nhưng các dịch vụ Update của các chương trình diệt Virus.

Ngoài việc ngăn cản việc Update của hệ điều hành và những phần mềm diệt Virus thì Conficker còn gây ra cho máy phục vụ và gây ra tình trạng nghẽn mạng cục bộ.

- Conficker A: Được phát hiện lần đầu tiên vào ngày 21/11/2008. Đây là biến thể đầu tiên của Conficker. Mục tiêu của nó nhằm vào các lỗ hổng của NetBIOS và nó khai thác lỗ hổng trên các máy chủ dịch vụ là MS08-067. Loại biến thể này hầu như không có tác động gì tới hệ thống. Khả năng tự động nâng cấp của Conficker rất tôt mỗi ngày nó luôn có sự update về cơ sở dữ liệu từ nhưng nạn nhân mà nó đã tấn công. Có khả năng tự cập nhật lên Conficker B, C và D.

- Conficker B: Được phát hiện vào 29/12/2008 đây là một phiên bản nâng cấp của Conficker A tấn công vào lỗi MS08-067 và tấn công dịch vụ shared Administrator( Dịch vụ Share ẩn của Windows C$). Có thể lây nhiễm theo phương thức cổ điển từ các thiết bị Remove media bằng cách tạo ra file Autorun DLL. Tự cấp nhật thư viện từ 250 tên miền ngẫu nhiên ảo qua 8 đuôi tên miền. Ngoài ra Conficker B có thể đẩy NetBIOS và sửa lỗi MS08-067 để có thể tái lây nhiễm trong dịch vụ Server, khóa tra cứu dịch vụ DNS, Disable Update. Có thể tự cập nhật lên Conficker D và C.

Conficker C: Phát hiện vào ngày 20/02/2009. Đây là một phiên bản gần giống vơi Conficker B nhưng về tính năng khai thác lỗ hổng thì Conficker C có thêm 1 tính năng đó là Tạo ra ống tên để nhận URL từ máy chủ từ xa, sau đó tải nó về từ URL. Tự cập nhật lên Conficker D.

Conficker D: Conficker D không có mục tiêu tấn công nhưng bù lại nó có thêm tính năng lây nhiễm dựa trên cơ sở của các phiên bản trước để có thể lây nhiễm và nhân bản. Conficker D có khả năng kéo HTTP tài từ 500 trong 50000 tên miền ngẫu nhiên ảo qua hơn 110 đuôi tên miền. Khả năng kéo đẩy P2P và khả năng sử dụng các giao thức điều trỉnh để quét các mạng ngang hàng đã bị nhiễm thông qua gói tin UDP rồi sau đó chuyển sang TCP. Conficker D có thể gây ra trên Victim như sau:

• Khoa tra cứu DNS: Nó sẽ thực hiện một thay đổi trong bộ nhớ tệp tin DNSAPI.DLL để khóa tra cứu sang các Website liên quan đến chống phần mềm độc hại. Điều này khiến các trình diệt Virus không thể Update.

• Tắt chế độ Safe Mode của Windows

• Tắt Auto Update của Windows.

• Disable các tính năng của các phần mềm diệt Virus.

Conficker D không có khả năng tự Update lên Conficker E.

Conficker E: Được phát hiển vào ngày 07/04/2009. Với các phương thức tấn công tương tự các phiên bản trước đó. Nhưng Conficker E có đầy đử các tính năng mà các phiên bản trước có. Nó có khả năng tự động Download các phần mềm Spambot, ScareWare về cài đặt và có thể tự động xóa bỏ vào ngày 3 tháng 5 năm 2009.

Các biến thể A, B, C, và E đều khai thác lỗ hổng trong dịch vụ Server của các máy tính chạy Windows, trong đó một máy tính nguồn đã bị nhiễm sẽ gửi yêu cầu được che dấu kĩ thông qua thủ tục từ xa để gây tràn bộ đệm và thực thi mã dòng lệnh (Shellcode) trên máy đích. Conficker chạy trên một HTTP server và trên một cổng tù 1024- 10000. Đoạn mã mà Conficker gửi sang cho nạn nhân swex kết nối ngược lại với HTTP server này để tải một bản sao của sâu mới dưới dạng DLL rồi sau đó đính vào file svchost.exe. Các biến thể B trở nên có thể đính vào một tiến trình services.exe hoặc Windows Explorer. Ngoài ra Conficker còn có khả năng tấn công Brute Force và Dictionary vào hệ thống nhằm chiếm quyền quản trị của nạn nhân.

Biến thể B và C có thể thi hành các bản sao của chúng tư xa thông qua Shared của ADMIN (C$, IPC$) sau đó sử dụng Dictionary hoặc tấn công vét cạn, Brute Force trên các máy có thể nhìn thấy nhau thông qua NetBIOS.

Biến thể B và C có khả năng lây nhiễm thông qua USB hay bất cứ các thiết bị lưu trữ ngoài nào. Nó sử dụng một bản sao ở dạng DLL và sử dụng tính năng Autorun để thực thi nó. Nó cáo khả năng tạo ra lưu lượng mạng rất lớn và làm thay đổi các quy định kháo tài khoản người dùng.

Truyền nhận dữ liệu qua mạng

Conficker có một số cơ chế đẩy kéo các dữ liệu thực thi được qua mạng. Những dữ liệu này được nó sử dụng để tự nâng cấp các phiên bản của nó và để cài thêm các phần mềm độc hại.

Biến thẻ A tạo ra một danh sách gồm 250 tên miền hàng ngày với 5 tên miền cao nhất . Những tên miền được tạo ra một cách ngẫu nhiên và được nó tạo ra một kết nối HTTP tới lần lượt tên miền này và nó đợi truyền về một lượng dữ liệu đã được ký.

Do đó khi nâng cấp phiên bản Conficker không để lộ thông tin chúng ta cũng không thể biết nguồn gốc thực sự của Conficker.

Sau mỗi biến thể từ AC thì nó đã nâng khả năng cập nhật phiên bản và dữ liệu của nó lên. Nó nâng khả năng tạo ra các tên miền mới và số lượng tên miền cập nhật của nó.

Để ngăn không cho dữ liệu bị xâm nhập, biến thể A đã mã hóa dữ liệu bằng các hàm Băm MD6, mã hóa RC4 được sử dụng làm khóa 512 bit đính kem lên hàm băm tạo thành một khóa RSA 1024 bit. Dữ liệu chỉ được mở và thực thi nếu chữ ký phù hợp với khóa công cộng nhúng trong Conficker.

Mã hóa dữ liệu của chúng từ biến thể B tăng kích thước khóa RSA lên tới 4096 bit.

Khả năng tự bảo vệ của Conficker rất tốt. Nó có thể tự động Disable các tính năng Update của hệ thống như Windows Automatic Update, Windows security Center, Windows Defender và Windows Error Reporting, các dịch vụ Update của các chương trình Anti-Virus làm khả năng kháng cự của hệ thống yếu. Sau khi thâm nhập được hệ thống Conficker sẽ tự động download các loại Virus khác hoặc các phần mềm độc hại

Dựa vào các thông tin về cách thức tấn công, cơ ché tự bảo vệ và cơ chế update của Conficker thì chúng ta có những giải pháp sau để ngăn chặn và tiêu diệt Conficker.

1. Với Password nên đặt các mật khẩu có độ an toàn tin cậy cao.

2. Với chế độ logon của user nên đặt 5 lần Logon Fail sẽ phải chờ.

3. Update Windows và các chương trình diệt Virus định kỳ và liên tục.

4. Cập nhật bản vá của Windows theo một địa chỉ đáng tin cậy.

5. Nếu trường hợp đã bị nhiễm thì bạn nên Download chương trình diệt Conficker về để diệt sau đó Update các phần mềm diệt Virus.

6. Bạn có thể sử dụng các chương trình diệt Virus có uy tín như KassperSky, McAfee, Symantec,.... và hầu hết trên các trang Web của các hãng này đều có các tool để diệt Conficker.