🔐 Vì sao WMIC và PsExec nguy hiểm trong NotPetya?
NotPetya không chỉ dựa vào exploit, mà tận dụng chính cơ chế quản trị hợp pháp của Windows:
- WMIC → thực thi lệnh từ xa qua WMI
- PsExec → chạy process trên máy khác qua SMB
👉 Khi malware đã có:
- credential hợp lệ (user/password)
- hoặc token admin/domain admin
→ nó có thể:
- đăng nhập vào máy khác như một quản trị viên thật
- chạy file độc hại từ xa
- lan mà không cần khai thác thêm lỗ hổng
⚠️ “Chìa khóa thật” nghĩa là gì?
Đây là điểm cốt lõi:
- Firewall thường cho phép lưu lượng nội bộ hợp pháp
- Admin thường cần:
- SMB (port 445)
- WMI (RPC)
- Remote execution
👉 Khi NotPetya dùng đúng:
- tài khoản thật
- giao thức hợp lệ
→ hệ thống sẽ hiểu đó là hoạt động quản trị bình thường
🚫 Firewall có thật sự vô dụng?
Không hẳn. Chính xác hơn:
❌ Firewall truyền thống KHÔNG đủ
- Không phân biệt được:
- admin thật
- malware giả admin
- Cho phép traffic nội bộ mặc định
✅ Nhưng firewall nâng cao VẪN có thể chặn
Nếu cấu hình đúng:
- Network segmentation (chia mạng)
- chặn truy cập giữa các VLAN
- Zero Trust
- xác thực lại mọi kết nối
- East-West traffic filtering
- kiểm soát traffic nội bộ
- Block PsExec / WMI nếu không cần
🔬 Cơ chế thực tế (điểm mấu chốt)
Máy A bị nhiễm
↓
Dump password từ RAM
↓
Dùng PsExec/WMIC
↓
Login vào máy B bằng tài khoản thật
↓
Thực thi malware
↓
Lặp lại → lan toàn mạng
👉 Không cần exploit ở bước này nữa
🧠 Điểm nguy hiểm nhất
Không phải tool…
👉 mà là:
- Credential reuse (dùng chung mật khẩu)
- Quyền admin lan rộng
- Không phân đoạn mạng
🔐 Cách chặn đúng hướng
1. Ngăn “chìa khóa thật”
- Không dùng chung tài khoản admin
- Dùng Privileged Access Management (PAM)
- Bật LSASS protection
2. Hạn chế công cụ quản trị
- Disable PsExec nếu không cần
- Giới hạn WMI theo IP
- Audit remote execution
3. Kiểm soát nội bộ
- Chặn SMB giữa các máy user
- Chỉ cho phép server cần thiết
🎯 Kết luận
Câu bạn nói có thể diễn giải chính xác hơn:
NotPetya không phá firewall — nó đi xuyên qua firewall bằng danh tính hợp pháp, khiến các cơ chế bảo mật truyền thống không còn hiệu quả nếu không có kiểm soát nội bộ và quản lý danh tính chặt chẽ.
