EternalRomance là một công cụ khai thác mạnh mẽ nhắm vào giao thức Microsoft Server Message Block (SMB). Đây là một trong những bộ công cụ được Cơ quan An ninh Quốc gia Hoa Kỳ (NSA) phát triển và bị nhóm Shadow Brokers rò rỉ vào năm 2017. Việc khai thác cho phép kẻ tấn công từ xa có quyền truy cập trái phép vào hệ thống và thực thi mã tùy ý, do đó gây ra thiệt hại đáng kể. mối đe dọa an ninh mạng.
The Genesis of EternalRomance và sự đề cập đầu tiên của nó
Lần đầu tiên công chúng biết đến EternalRomance là vào ngày 14 tháng 4 năm 2017, khi một nhóm hacker có tên Shadow Brokers phát hành một kho công cụ hack và khai thác được cho là của NSA. Kết xuất này bao gồm EternalRomance, cùng với một số khai thác được đặt tên khác như EternalBlue, EternalChampion và EternalSynergy.
Nhóm Shadow Brokers nổi lên vào năm 2016 và tuyên bố đã đánh cắp những công cụ này từ nhóm hacker ưu tú của NSA được gọi là Equation Group. Trước vụ rò rỉ năm 2017, những công cụ này và khả năng của chúng có lẽ chỉ được biết đến bởi những nhân viên tình báo và an ninh mạng chọn lọc.
Mở rộng trên EternalRomance
EternalRomance khai thác lỗ hổng trong SMBv1, một giao thức mạng cho phép chia sẻ tài nguyên, như tệp và máy in, qua mạng. Giao thức SMB được sử dụng rộng rãi trong các hệ thống Windows. Cụ thể, EternalRomance nhắm vào lỗ hổng được xác định là CVE-2017-0143.
Việc khai thác cho phép kẻ tấn công gửi các gói được chế tạo đặc biệt đến máy chủ SMBv1 được nhắm mục tiêu, cho phép chúng thực thi mã tùy ý trên máy chủ mục tiêu. Điều này có thể dẫn đến truy cập hệ thống trái phép, đánh cắp dữ liệu hoặc phát tán phần mềm độc hại, chẳng hạn như ransomware.
Cơ chế bên trong của EternalRomance
Về cốt lõi, EternalRomance lợi dụng lỗ hổng hỏng bộ nhớ trong giao thức SMBv1. Việc khai thác liên quan đến việc gửi các gói được chế tạo đặc biệt đến máy chủ SMB mục tiêu, sau đó có thể gây ra lỗi tràn bộ đệm. Lỗi này làm gián đoạn quá trình xử lý thông thường và có thể cho phép kẻ tấn công thực thi mã tùy ý.
Trong trường hợp của EternalRomance, việc thực thi này thường được thực hiện dưới dạng tải trọng cửa sau, được cài đặt trên hệ thống bị xâm nhập. Cửa hậu này sau đó có thể được sử dụng để khởi động các cuộc tấn công bổ sung, cài đặt phần mềm độc hại hoặc đánh cắp thông tin nhạy cảm.
Phân tích các tính năng chính của EternalRomance
Các tính năng chính của việc khai thác EternalRomance bao gồm:
-
Nhắm mục tiêu SMBv1: EternalRomance nhắm vào lỗ hổng trong SMBv1, một giao thức được sử dụng nhiều trong hệ thống Windows để chia sẻ tài nguyên.
-
Thực thi mã từ xa: Việc khai thác cho phép kẻ tấn công thực thi mã tùy ý trên hệ thống được nhắm mục tiêu, điều này có thể dẫn đến sự xâm phạm toàn bộ hệ thống.
-
Cài đặt cửa sau: Khi hệ thống bị xâm phạm, EternalRomance thường cài đặt một cửa sau, cung cấp quyền truy cập liên tục cho kẻ tấn công.
-
Sự lảng tránh: Là một công cụ khai thác nâng cao, EternalRomance được thiết kế để trốn tránh các cơ chế phát hiện thông thường, gây khó khăn cho việc xác định và giảm thiểu.
-
Tuyên truyền giống như sâu: Việc khai thác có thể được sử dụng để tự phát tán trên mạng, tương tự như sâu, lây nhiễm vào nhiều hệ thống trong một khoảng thời gian ngắn.
Các loại lãng mạn vĩnh cửu
EternalRomance, với tư cách là một công cụ khai thác, không có 'loại' khác nhau mà thay vào đó là các biến thể hoặc các công cụ khai thác liên quan, tất cả đều là một phần của loạt Eternal bị rò rỉ bởi Shadow Brokers. Bao gồm các:
| Tên khai thác | Mã định danh CVE | Sự miêu tả |
|---|---|---|
| màu xanh vĩnh cửu | CVE-2017-0144 | Khai thác lỗ hổng trong SMBv1 và đặc biệt được sử dụng trong các cuộc tấn công ransomware WannaCry và NotPetya |
| Nhà vô địch vĩnh cửu | CVE-2017-0146 | Khai thác điều kiện chạy đua trong xử lý giao dịch trong SMBv1 |
| Sức mạnh vĩnh cửu | CVE-2017-0143 | Tương tự như EternalRomance, nó khai thác lỗ hổng trong SMBv1 |
Sử dụng EternalRomance, Vấn đề và Giải pháp
EternalRomance là một vũ khí mạng mạnh mẽ và thường được tội phạm mạng và các tác nhân đe dọa do nhà nước bảo trợ sử dụng để truy cập trái phép vào mạng. Việc sử dụng nó có thể dẫn đến thiệt hại đáng kể, chẳng hạn như đánh cắp, phá hủy dữ liệu hoặc tấn công bằng ransomware.
Tuy nhiên, có những cách hiệu quả để giảm thiểu rủi ro liên quan đến việc khai thác này:
-
Quản lý bản vá: Microsoft đã phát hành bản vá cho lỗ hổng SMBv1 (MS17-010) vào tháng 3 năm 2017. Đảm bảo tất cả các hệ thống đều được cập nhật bản vá này và các bản vá khác là một bước quan trọng để bảo vệ khỏi EternalRomance.
-
Phân đoạn mạng: Bằng cách tách biệt tài nguyên mạng và hạn chế chuyển động ngang, tổ chức có thể hạn chế thiệt hại do việc khai thác tiềm năng.
-
Vô hiệu hóa SMBv1: Nếu SMBv1 không cần thiết cho hoạt động kinh doanh thì việc vô hiệu hóa nó có thể loại bỏ hoàn toàn mối đe dọa.
So sánh với các điều khoản tương tự
Mặc dù EternalRomance có cách tiếp cận độc đáo nhưng nó có một số đặc điểm giống với các cách khai thác mạng nổi tiếng khác:
| Khai thác | Sự tương đồng | Sự khác biệt chính |
|---|---|---|
| Petya/NotPetya | Cả hai đều được sử dụng để truyền bá ransomware trên mạng | Petya/NotPetya là một loại ransomware, trong khi EternalRomance là một cách khai thác được sử dụng để phân phối các tải trọng như vậy |
| Stuxnet | Cả hai đều là vũ khí mạng tinh vi có thể được phát triển bởi các quốc gia | Stuxnet nhắm vào các hệ thống SCADA, trong khi EternalRomance nhắm vào các hệ thống Windows thông qua giao thức SMBv1 |
| chảy máu tim | Cả hai đều cho phép kẻ tấn công trích xuất dữ liệu từ các hệ thống mục tiêu | Heartbleed nhắm vào thư viện OpenSSL, trong khi EternalRomance khai thác lỗ hổng trong SMBv1 |
Quan điểm tương lai về EternalRomance
Tương lai của các hoạt động khai thác như EternalRomance gắn chặt với sự phát triển của an ninh mạng. Khi khả năng phòng thủ được cải thiện, các hoạt động khai thác phải phát triển để duy trì tính hiệu quả của chúng. Ngoài ra, việc áp dụng trí tuệ nhân tạo và học máy ngày càng tăng trong an ninh mạng có thể khiến những hoạt động khai thác như vậy khó thành công hơn.
Mặt khác, khi Internet of Things (IoT) mở rộng và nhiều thiết bị được kết nối với mạng hơn, bề mặt tấn công tiềm tàng để khai thác như EternalRomance cũng tăng lên. Vì vậy, việc tiếp tục cảnh giác và các biện pháp an ninh mạng chủ động là rất cần thiết.
Máy chủ proxy và EternalRomance
Mặc dù các máy chủ proxy không tương tác trực tiếp với EternalRomance nhưng chúng có thể đóng một vai trò trong chiến lược an ninh mạng rộng hơn. Máy chủ proxy hoạt động như một trung gian giữa người dùng và internet, có thể thêm một lớp ẩn danh và bảo mật.
Proxy có thể giúp che khuất cấu trúc bên trong của mạng, khiến kẻ tấn công bên ngoài khó lấy được thông tin hữu ích hơn. Tuy nhiên, chúng không phải là giải pháp độc lập và nên được sử dụng kết hợp với các biện pháp bảo mật khác như tường lửa, phần mềm chống vi-rút và vá lỗi định kỳ.
Liên kết liên quan
Để biết thêm thông tin chi tiết về EternalRomance và các chủ đề liên quan, các tài nguyên sau có thể hữu ích:
