Tìm hiểu về mẫu Rootkit.Win32.Stuxnet.a
Tất cả đều được che giấu khá kỹ càng, và tất nhiên người dùng bình thường không
thể phát hiện được sự tồn tại của chúng. Mặt khác, chúng cũng được trang bị các
phương thức payload tinh vi để tránh bị phát hiện bởi những chương trình bảo mật
phổ biến hiện nay và kéo dài thời gian hoạt động khi tiếp tục lây lan sang các máy
khác.
Những hoạt động đầu tiên của Rootkit.Win32.Stuxnet.a được phát hiện vào ngày
12/07/2010 lúc 07:57 GMT, phân tích vào cùng ngày 12/07/2010, và thông tin
chính thức được công bố ngày 20/09/2010. Thực chất, đây là driver NT kernel
mode với dung lượng khoảng 26616 byte.
Khi thực thi trên máy tính của nạn nhân, chúng tự động copy file sau:
%System%\drivers\mrxcls.sys
Để kích hoạt tính năng khởi động cùng hệ thống, chúng tiếp tục ra những khóa
registry sau:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MRxCls]
"Description"="MRXCLS"
"DisplayName"="MRXCLS"
"ErrorControl"=dword:00000000
"Group"="Network"
"ImagePath"="\\??\\%System%\Drivers\\mrxcls.sys"
"Start"=dword:00000001
"Type"=dword:00000001
Và file %System%\drivers\mrxnet.sys với dung lượng 17400 byte (hay còn gọi
là Rootkit.Win32.Stuxnet.b). Đồng thời, chúng tiếp tục tạo những khóa sau trong
các dịch vụ của registry:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MRxNet]
"Description"="MRXCLS"
"DisplayName"="MRXNET"
"ErrorControl"=dword:00000000
"Group"="Network"
"ImagePath"="\\??\\%System%\Drivers\\mrxnet.sys"
"Start"=dword:00000001
"Type"=dword:00000001
và những file dưới đây để lưu trữ các dòng lệnh thực thi và mã hóa dữ liệu chính
của rootkit:
%windir%\inf\mdmcpq3.pnf - 4633 byte
%windir%\inf\mdmeric3.pnf - 90 byte
%windir%\inf\oem6c.pnf - 323848 byte
%windir%\inf\oem7a.pnf – 498176 byte
Loại rootkit này chủ yếu xâm nhập và lây lan qua USB bằng lỗ hổng Zero Day
CVE-2010-2568. Khi khởi động, chúng sẽ tự kích hoạt các tiến trình bên trong
services.exe để phát hiện và điều khiển các giao thức kết nối USB trên hệ thống.
Nếu phát hiện có thiết bị USB nào kết nối, chúng sẽ tự tạo ra những file sau trên
chiếc USB đó:
~wtr4132.tmp với dung lượng 513536 byte (được giám định là dòng Trojan-
Dropper.Win32.Stuxnet.a)
~wtr4141.tmp - 25720 byte (đã được xác định là loại Trojan-
Dropper.Win32.Stuxnet.b)
Những file DLL trên sẽ tự động download về máy tính khi lỗ hổng được khai thác
và tự động cài đặt rootkit trên hệ thống. Mặt khác, các shortcut dẫn tới lổ hổng
trên được tạo ra trên tất cả các phân vùng:
"Copy of Shortcut to.lnk"
"Copy of Copy of Shortcut to.lnk"
"Copy of Copy of Copy of Shortcut to.lnk"
"Copy of Copy of Copy of Copy of Shortcut to.lnk"
Tất cả những file trên đều có dung lượng 4171 byte và được nhận định là loại
Trojan.WinLnk.Agent.i. Những lỗ hổng bảo mật trên hệ điều hành sẽ tiếp tục bị
khai thác nếu người dùng truy cập và xem nội dung bên trong thiết bị USB đó. Và
quá trình này lại tiếp tục 1 vòng tuần hoàn lây lan khác của rootkit.
Phương thức Payload:
Mục đích chính của loại rootkit này là chén mã độc vào các tiến trình, ứng dụng
mà người sử dụng kích hoạt. Sau đó, chúng sẽ tiếp tục download các file DLL và
“nhúng” vào các dịch vụ sau:
svchost.exe
services.exe
lsass.exe
Khi hoàn tất quá trình này, những file DLL trên sẽ được liệt kê trong danh sách
module với tên gọi:
kernel32.dll.aslr.
shell32.dll.aslr.
![Câu hỏi ôn tập An toàn mạng [năm hiện tại]](https://cdn.tailieu.vn/images/document/thumbnail/2025/20250702/kimphuong555/135x160/56191751442800.jpg)
![Cẩm nang phòng chống, giảm thiểu rủi ro từ tấn công Ransomware [Mới nhất]](https://cdn.tailieu.vn/images/document/thumbnail/2025/20250627/vijiraiya/135x160/48331751010876.jpg)
