QuanTriMang.com - Được xếp vào hàng Rootkit, chúng được tạo ra để “tập trung” vào những đối tượng và hoạt động chính của hệ thống Windows, ví dụ như file, thư mục và các tiến trình được lưu trữ trong bộ nhớ của máy tính bị lây nhiễm. Tất cả đều được che giấu khá kỹ càng, và tất nhiên người dùng bình thường không thể phát hiện được sự tồn tại của chúng. Mặt khác, chúng cũng được trang bị các phương thức payload tinh vi để tránh bị phát hiện bởi những chương trình bảo mật phổ biến hiện nay và kéo dài thời gian hoạt động khi tiếp tục lây lan sang các máy khác.
Những hoạt động đầu tiên của Rootkit.Win32.Stuxnet.a được phát hiện vào ngày 12/07/2010 lúc 07:57 GMT, phân tích vào cùng ngày 12/07/2010, và thông tin chính thức được công bố ngày 20/09/2010. Thực chất, đây là driver NT kernel mode với dung lượng khoảng 26616 byte.
Khi thực thi trên máy tính của nạn nhân, chúng tự động copy file sau:
%System%\drivers\mrxcls.sys
Để kích hoạt tính năng khởi động cùng hệ thống, chúng tiếp tục ra những khóa registry sau:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MRxCls]
"Description"="MRXCLS"
"DisplayName"="MRXCLS"
"ErrorControl"=dword:00000000
"Group"="Network"
"ImagePath"="\\??\\%System%\Drivers\\mrxcls.sys"
"Start"=dword:00000001
"Type"=dword:00000001
Và file %System%\drivers\mrxnet.sys với dung lượng 17400 byte (hay còn gọi là Rootkit.Win32.Stuxnet.b). Đồng thời, chúng tiếp tục tạo những khóa sau trong các dịch vụ của registry:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MRxNet]
"Description"="MRXCLS"
"DisplayName"="MRXNET"
"ErrorControl"=dword:00000000
"Group"="Network"
"ImagePath"="\\??\\%System%\Drivers\\mrxnet.sys"
"Start"=dword:00000001
"Type"=dword:00000001
và những file dưới đây để lưu trữ các dòng lệnh thực thi và mã hóa dữ liệu chính của rootkit:
%windir%\inf\mdmcpq3.pnf - 4633 byte
%windir%\inf\mdmeric3.pnf - 90 byte
%windir%\inf\oem6c.pnf - 323848 byte
%windir%\inf\oem7a.pnf – 498176 byte
Loại rootkit này chủ yếu xâm nhập và lây lan qua USB bằng lỗ hổng Zero Day CVE-2010-2568. Khi khởi động, chúng sẽ tự kích hoạt các tiến trình bên trong services.exe để phát hiện và điều khiển các giao thức kết nối USB trên hệ thống. Nếu phát hiện có thiết bị USB nào kết nối, chúng sẽ tự tạo ra những file sau trên chiếc USB đó:
~wtr4132.tmp với dung lượng 513536 byte (được giám định là dòng Trojan-Dropper.Win32.Stuxnet.a)
~wtr4141.tmp - 25720 byte (đã được xác định là loại Trojan-Dropper.Win32.Stuxnet.b)
Những file DLL trên sẽ tự động download về máy tính khi lỗ hổng được khai thác và tự động cài đặt rootkit trên hệ thống. Mặt khác, các shortcut dẫn tới lổ hổng trên được tạo ra trên tất cả các phân vùng:
"Copy of Shortcut to.lnk"
"Copy of Copy of Shortcut to.lnk"
"Copy of Copy of Copy of Shortcut to.lnk"
"Copy of Copy of Copy of Copy of Shortcut to.lnk"
Tất cả những file trên đều có dung lượng 4171 byte và được nhận định là loại Trojan.WinLnk.Agent.i. Những lỗ hổng bảo mật trên hệ điều hành sẽ tiếp tục bị khai thác nếu người dùng truy cập và xem nội dung bên trong thiết bị USB đó. Và quá trình này lại tiếp tục 1 vòng tuần hoàn lây lan khác của rootkit.
Phương thức Payload:
Mục đích chính của loại rootkit này là chén mã độc vào các tiến trình, ứng dụng mà người sử dụng kích hoạt. Sau đó, chúng sẽ tiếp tục download các file DLL và “nhúng” vào các dịch vụ sau:
svchost.exe
services.exe
lsass.exe
Khi hoàn tất quá trình này, những file DLL trên sẽ được liệt kê trong danh sách module với tên gọi:
kernel32.dll.aslr.
shell32.dll.aslr.
Trong đó, tham số rnd là những số hệ thập phân. Đoạn mã đang được chèn lưu trữ trong file %WinDir%\inf\oem7A.PNF. Tất nhiên là nó đã được mã hóa.
Những đoạn mã để chèn vào hệ thống với các chức năng chính như sau:
- Có cơ chế tự lây lan qua các thiết bị lưu trữ giao thức USB
- Kiểm soát hệ thống Siemens Step7. Với mục đích lây lan và nhanh chóng chiếm quyền điều khiển hệ thống, chúng sẽ lập tức thay thế tiến trình s7tgtopx.exe thay vì thư viện s7otbxsx.dll như thường lệ, để mô phỏng các công đoạn khác nhau trong hệ thống theo những hàm API sau:
s7_event
s7ag_bub_cycl_read_create
s7ag_bub_read_var
s7ag_bub_write_var
s7ag_link_in
s7ag_read_szl
s7ag_test
s7blk_delete
s7blk_findfirst
s7blk_findnext
s7blk_read
s7blk_write
s7db_close
s7db_open
s7ag_bub_read_var_seg
s7ag_bub_write_var_seg
Qua đó dễ dàng thu thập các thông tin cần thiết trên hệ thống.
- Thực hiện các câu lệnh truy vấn SQL, rootkit này sẽ nhận danh sách các máy tính trong mạng nội bộ và kiểm tra sự tồn tại của ứng dụng Microsoft SQL server trên đó, để đáp ứng cho hệ thống ảo hóa và các hoạt động của Siemens WinCC. Nếu chúng tìm thấy được bất kỳ server nào đó, các malware đi kèm sẽ cố gắng kết nối và đăng nhập vào cơ sở dữ liệu sử dụng tên tài khoản và mật khẩu WinCCConnect/2WSXcder, và sau đó yêu cầu trích xuất dữ liệu từ những bảng sau:
MCPTPROJECT
MCPTVARIABLEDESC
MCPVREADVARPERCON
It collects information from files with the extensions:
*.S7P
*.MCP
*.LDF
Những bảng này được sử dụng trong Siemens Step7. Và chúng sẽ tiếp tục lây lan đến các máy tính khác trong hệ thống theo cách tương tự.
- Sau đó, chúng sẽ gửi đi những thông tin đã đánh cắp được về địa chỉ đã chuẩn bị sẵn bởi tin tặc dưới các dạng gói dữ liệu mã hóa khác nhau.
- Những file rootkit này được đánh dấu với chữ ký điện tử - digital signature, của Realtek Semiconductor Corp.
Hướng dẫn xóa bỏ:
Nếu máy tính của bạn đã bị nhiễm loại rootkit này, và chương trình bảo mật hiện thời không hề có tác dụng phòng tránh, hãy áp dụng cách dưới đây để xóa bỏ hoàn toàn những chương trình độc hại này:
Tìm và xóa bỏ hoàn toàn file gốc của rootkit (những file có ký tự lạ xuất hiện trên các phân vùng, thiết bị USB...)
Xóa các file registry sau:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MRxNet]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MRxCls]
Tiếp tục xóa những file hệ thống sau:
%System%\drivers\mrxnet.sys
%System%\drivers\mrxcls.sys
%windir%\inf\mdmcpq3.pnf
%windir%\inf\mdmeric3.pnf
%windir%\inf\oem6c.pnf
%windir%\inf\oem7a.pnf
Khởi động lại máy tính, tắt bỏ tính năng hiển thị biểu tượng trong trình quản lý dữ liệu để tránh quá trình lây lan.
Xóa bỏ những file sau trên thiết bị USB:
"Copy of Shortcut to.lnk"
"Copy of Copy of Shortcut to.lnk"
"Copy of Copy of Copy of Shortcut to.lnk"
"Copy of Copy of Copy of Copy of Shortcut to.lnk"
~wtr4132.tmp
~wtr4141.tmp
- Sử dụng các chương trình bảo mật có uy tín như Kaspersky Internet Security, BitDefender Security, Avira Antivir Premium, Norton Internet Security...