Xuất hiện malware Rombertik mới tấn công ổ cứng và xóa MBR

Cuộc chiến giữa tội phạm mạng và giới bảo mật đã bước sang một giai đoạn mới với sự xuất hiện của Rombertik, một malware (mã độc) mới có khả năng bắt các gói tin để thu thập dữ liệu cá nhân khi duyệt web đồng thời sẽ tấn công và ghi đè lên MBR (master boot record) ổ cứng máy tính để xóa dấu vết nếu bị phần mềm bảo mật phân tích.

Vấn đề đáng nói của malware mới nằm ở phương thức chống sự phát hiện của phần mềm bảo mật. Đội phản ứng với nguy cơ bảo mật của Cisco cho biết sau khi lây nhiễm vào máy tính người dùng, Rombertik sẽ chạy một loạt bước kiểm tra chống phân tích xem có đang chạy trong sandbox (tạm dịch hộp cát) của môi trường ảo hay không trước khi giải mã và có những hành động kế tiếp.

Infographic bên dưới cho thấy cách thức hoạt động của Rombertik. Theo phân tích của Cisco, 97% dữ liệu đóng gói trong tập tin là thông tin về hình ảnh và tính năng không được sử dụng mà chỉ để mã độc này có dung lượng trông giống thực tế hơn.

malware Rombertik_hinh 2.1.jpg

Rombertik bắt đầu bằng việc ghi đến 960 triệu byte ngẫu nhiên vào bộ nhớ để để “làm ngập” tập tin log hệ thống với 100GB dữ liệu rác. Kế tiếp, malware này sẽ kiểm tra chống phân tích xem có đang chạy trong trong môi trường ảo hay không.

Nếu không nằm trong môi trường hạn chế (virtual machine), Rombertik sẽ giải mã, tạo bản sao và khởi chạy các lệnh cần thực thi. Các lệnh thực thi này không cố định và được làm rắc rối với một số lệnh không cần thiết nhằm đánh lạc hướng chuyên gia bảo mật phân tích, dò tìm lại các bước phá hoại của Rombertik.

Nếu phát hiện đang chạy trong môi trường ảo sandbox, Rombertik sẽ tìm cách truy cập và ghi đè lên MBR ổ cứng bằng byte rỗng (null byte) hoặc mã hóa toàn bộ dữ liệu trong thư mục C:\Documents and Settings\Administrator với thuật toán RC4 trong trường hợp không có quyền ghi lên MBR.

Việc ghi đè lên master boot record với các byte không có giá trị khiến việc khôi phục phân vùng hệ thống khó khăn hơn nhiều so với chỉ đơn giản là xóa thông tin master boot record này.

Rombertik là sự kết hợp giữa một mã độc truyền thống dùng để thu thập dữ liệu cá nhân khi người dùng duyệt web và cơ chế chống sự phát hiện của phần mềm bảo mật hoàn toàn mới. Dù không có nhiều thông tin về tác giả và mục tiêu thật sự của mã độc này, tuy nhiên với những kỹ thuật phức tạp trên cho thấy Rombertik có khả năng được sử dụng trong các hoạt động tình báo mạng và được dùng để tấn công có chủ đích vào một mục tiêu nào đó. Bạn có thể tham khảo thêm thông tin chi tiết tại trang blog của Cisco tại đây.

Nguồn tham khảo: Extremetech.com

hsta94

ĐẠI BÀNG

9 năm

Đọc xong đến đoạn cuối cùng, thôi khỏi phải tham khảo luôn

nhoc_maruko9x

TÍCH CỰC

Thế GPT là bó tay à?

htphoto

Túm váy lại là rất cao siêu nhưng không đáng ngại 😁. hết

narutoxboy

VIP

@@ ngán nhỉ quất vào MBR byte 0 luôn

thienvk

Ai có mẫu malware này gửi cho anh Q mọi chuyện xong hết

webzone.vn

nghe nói tới tình báo. thì thôi kệ nó. Dân thường không cần lo chi mệt óc

npdong1994

Mình sử dụng GPT từ khi mình xài Windows 8, :oops: tạm biệt MBR:rolleyes:

vhtn8381

@npdong1994 ko bít mọi người sao chứ mềnh dị ứng cực vs win 8. Và win 7 của mềnh vẫn đang chạy trên UEFI,. đang hóng win 10 xem thía nào:p

@vhtn8381 khổ nỗi máy của mình cứ cài win 7 vào là lỗi với mò drive thấy mệt, bởi vì nó ra đã là tối ưu vs win 8 rồi 😁

secretlonely

"khả năng bắt các gói tin để thu thập dữ liệu cá nhân khi duyệt web" cái này hack nhầm ngay mấy bác FA chắc lại toàn link JAV thần chưởng, không khéo thu thập xong lại tẩu cmn hỏa mất 😕

panda9992

GÀ

May quá mình dùng GPT :p

benchimto

Các máy sau này toàn GPT UEFI

destructiveguy9x

QuanNDD đã nói: ↑

View attachment 2920423

Cuộc chiến giữa tội phạm mạng và giới bảo mật đã bước sang một giai đoạn mới với sự xuất hiện của Rombertik, một malware (mã độc) mới có khả năng bắt các gói tin để thu thập dữ liệu cá nhân khi duyệt web đồng thời sẽ tấn công và ghi đè lên MBR (master boot record) ổ cứng máy tính để xóa dấu vết nếu bị phần mềm bảo mật phân tích.

Vấn đề đáng nói của malware mới nằm ở phương thức chống sự phát hiện của phần mềm bảo mật. Đội phản ứng với nguy cơ bảo mật của Cisco cho biết sau khi lây nhiễm vào máy tính người dùng, Rombertik sẽ chạy một loạt bước kiểm tra chống phân tích xem có đang chạy trong sandbox (tạm dịch hộp cát) của môi trường ảo hay không trước khi giải mã và có những hành động kế tiếp.

Infographic trên cho thấy cách thức hoạt động của Rombertik. Theo phân tích của Cisco, 97% dữ liệu đóng gói trong tập tin là thông tin về hình ảnh và tính năng không được sử dụng mà chỉ để mã độc này có dung lượng trông giống thực tế hơn.

View attachment 2920422

Rombertik bắt đầu bằng việc ghi đến 960 triệu byte ngẫu nhiên vào bộ nhớ để để “làm ngập” tập tin log hệ thống với 100GB dữ liệu rác. Kế tiếp, malware này sẽ kiểm tra chống phân tích xem có đang chạy trong trong môi trường ảo hay không.

Nếu không nằm trong môi trường hạn chế (virtual machine), Rombertik sẽ giải mã, tạo bản sao và khởi chạy các lệnh cần thực thi. Các lệnh thực thi này không cố định và được làm rắc rối với một số lệnh không cần thiết nhằm đánh lạc hướng chuyên gia bảo mật phân tích, dò tìm lại các bước phá hoại của Rombertik.

Nếu phát hiện đang chạy trong môi trường ảo sandbox, Rombertik sẽ tìm cách truy cập và ghi đè lên MBR ổ cứng bằng byte có giá trị 0 (null byte) hoặc mã hóa toàn bộ dữ liệu trong thư mục C:\Documents and Settings\Administrator với thuật toán RC4 trong trường hợp không có quyền ghi lên MRB.

Việc ghi đè lên master boot record với các byte giá trị 0 khiến việc khôi phục phân vùng hệ thống khó khăn hơn nhiều so với chỉ đơn giản là xóa thông tin master boot record này.

Rombertik là sự kết hợp giữa một mã độc truyền thống dùng để thu thập dữ liệu cá nhân khi người dùng duyệt web và cơ chế chống sự phát hiện của phần mềm bảo mật hoàn toàn mới. Dù không có nhiều thông tin về tác giả và mục tiêu thật sự của mã độc này, tuy nhiên với những kỹ thuật phức tạp trên cho thấy Rombertik có khả năng được sử dụng trong các hoạt động tình báo mạng và được dùng để tấn công có chủ đích vào một mục tiêu nào đó. Bạn có thể tham khảo thêm thông tin chi tiết tại trang blog của Cisco tại đây.

Nguồn tham khảo: Extremetech.com

Thế ổ cứng mình phân vùng GUID chứ không phải MBR thì có sao không :rolleyes:

vinhteo

@destructiveguy9x moiw bị dính chưởng ăn hành xong máy winxp bị mbr, cắm usb qua lại 1 lát máy win 8.1 ăn đạn, báo lổi winload.exe núp lùm

@vinhteo Bạn có xài Windows 8.1 UEFI không vậy? Nếu có thì làm sao cài được Windows XP? Win XP đâu có chạy được trên phân vùng GUID? 😁 Không biết ghost có sao lưu được trên UEFI không nhưng mà nếu bạn ghost Win XP lên phân vùng GUID có Windows 8.1 UEFI thì nó sẽ không boot vào XP được do nó không boot từ phân vùng EFI, nó sẽ nhận là không có phân vùng nào được active. Nếu lấy USB hiren là fix lại MBR rồi boot Windows 8.1 từ USB đó boot vào Windows 8.1 trên ổ cứng thì nó sẽ lỗi có thể bị lỗi winload.exe ;)

@destructiveguy9x à mình ghi thiếu chử máy nên bạn hiểu nhầm, máy win xp và máy win 8.1

ngotri_thien

Hèn chi dạo này máy không vào win được tăng lên đột biến nên làm ăn cũng kha khá, thay mặt thợ cám ơn mấy anh hacker.

king_of_mar1311

CAO CẤP

hehe, qua win 8 (64bit) nó yêu cầu chuẩn uefi và mặc định là chạy GPT luôn mà?

tung75605

Đây là cách mình sửa lỗi liên quan đến MBR
Bỏ đĩa win vào
Vào recovery console mở Command Promt
chạy lệnh:
bootrec.exe /fixboot
bootrec.exe /fixmbr

Vậy là xong 😁

qloved

@tung75605 hỏng cung mồi mbr khó xơi hơn thế nhiều, có thể không khôi phục được data chứ không như kiểu mất boot

odouroflove

Thông minh quá, hi vọng windows 10 sắp đến có biện pháp khắc phục, chứ nó lock Administrator ở C:\ thì làm ăn gì nữa Windows nhỉ 😃

tanhao189

@odouroflove Chạy với quyền system cao hơn cả Administrator bác ạ

dang_trong

chỉ có trên windows thôi à, mac chưa bị sao.

minhthanh_kd01

virut này nằm ngay trong chương trình test HDD của hirent boot mọi người cẩn thận nhé, mình bị 3 lần rồi nên chia sẻ cho mọi người. khi test HDD xong là bị mất luôn file MBR, sau khi ghost lại win hoặc cài lại thi màn hình tối đen chỉ hiện 1 vạch sáng ở góc. phải vào lại hirent boot để copy lại MBR

BietSoSoThoi

@minhthanh_kd01 Test bằng soft gì vậy? Hồi giờ my cái soft test trong HBoot test thấy có sao đâu.. :p

mancoi

Triệu hồi anh Q

Xuất hiện malware Rombertik mới tấn công ổ cứng và xóa MBR

CHỦ ĐỀ TƯƠNG TỰ

Cài đặt Proxmox trên IBM x3650M2

Tìm hiểu về nền tảng ảo hóa với Proxmox

[Quản trị mạng ]Tình huống khẩn cấp trích xuất dữ liệu từ tập tin ổ cứng ảo VMDK.

Nếu chỉ chơi game, anh em xài Windows 11 hãy tắt VBS, tốc độ khung hình sẽ tăng tối đa 10%